LockBit Ransomware-acteurs hebben sinds 2020 meer dan $ 90 miljoen verdiend

LockBit, een beruchte ransomware-as-a-service (RaaS) operatie, is erin geslaagd om maar liefst 91 miljoen dollar af te persen van verschillende Amerikaanse organisaties door middel van honderden aanvallen sinds 2020. Een gezamenlijk bulletin gepubliceerd door meerdere internationale autoriteiten, waaronder de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de FBI werpen licht op de omvang van de schade veroorzaakt door LockBit.

Het bulletin laat zien dat LockBit werkt als een RaaS, waardoor affiliates worden verleid om ransomware-aanvallen uit te voeren met behulp van hun platform. Dit heeft geleid tot een netwerk van ongelijksoortige bedreigingsactoren die verschillende soorten aanvallen uitvoeren. LockBit, dat eind 2019 opkwam, heeft zijn ontwrichtende en productieve aard behouden, met statistieken van Malwarebytes die aangeven dat het alleen al in mei 2023 tot 76 slachtoffers had gericht. De ransomware-bende, die vermoedelijk banden heeft met Rusland, heeft tot nu toe de verantwoordelijkheid opgeëist voor meer dan 1.653 ransomware-aanvallen.

LockBit heeft geen kritieke infrastructuursector gespaard en richt zich op sectoren als financiën, landbouw, onderwijs, energie, overheid, gezondheidszorg, productie en transport. Het heeft aanzienlijke upgrades ondergaan, waaronder LockBit Red in juni 2021, LockBit Black in maart 2022 en LockBit Green in januari 2023, waarvan de laatste is gebaseerd op gelekte broncode van de ontmantelde Conti-bende. De ransomware heeft ook zijn bereik uitgebreid naar Linux-, VMware ESXi- en Apple macOS-systemen, waardoor het een continu evoluerende dreiging wordt.

Het bedrijfsmodel van LockBit omvat het leasen van hun ransomware-tools aan gelieerde ondernemingen die de aanvallen en afpersingsoperaties uitvoeren. Het is ongebruikelijk dat de groep aangeslotenen toestaat om direct losgeld te ontvangen voordat ze een deel delen met de kernontwikkelaars.

LockBit maakt gebruik van verschillende kwetsbaarheden

De door LockBit georkestreerde aanvallen maakten misbruik van kwetsbaarheden in verschillende systemen, waaronder onlangs onthulde fouten in Fortra GoAnywhere Managed File Transfer (MFT) en PaperCut MF/NG-servers. Bovendien zijn bekende kwetsbaarheden in Apache Log4j2-, F5 BIG-IP- en BIG-IQ- en Fortinet-apparaten misbruikt voor initiële toegang.

Aan LockBit gelieerde ondernemingen hebben meer dan drie dozijn freeware en open-sourcetools gebruikt om netwerkverkenningen uit te voeren, externe toegang tot stand te brengen, referenties te dumpen en bestanden te exfiltreren. Met name legitieme software van het rode team, zoals Metasploit en Cobalt Strike, is ook misbruikt bij deze inbraken.

Het succes van LockBit kan worden toegeschreven aan de voortdurende innovatie, met name het gebruiksvriendelijke administratieve paneel dat de implementatie van ransomware vereenvoudigt voor personen met beperkte technische expertise. De groep herziet voortdurend haar tactieken, technieken en procedures (TTP's) om voorop te blijven lopen.

Als reactie op de dreiging heeft CISA een bindende operationele richtlijn uitgevaardigd die federale agentschappen opdraagt om netwerkapparaten die zijn blootgesteld aan het openbare internet te beveiligen en het aanvalsoppervlak te minimaliseren. Deze richtlijn is bedoeld om het risico te verkleinen dat bedreigingsactoren netwerkapparaten gebruiken om onbeperkte toegang te krijgen tot organisatienetwerken.

Bovendien benadrukte een recent advies de potentiële risico's die gepaard gaan met Baseboard Management Controller (BMC) -implementaties, die bedreigingsactoren voet aan de grond kunnen geven en pre-boot uitvoeringsmogelijkheden kunnen bieden.