Aktorzy LockBit Ransomware zarobili ponad 90 milionów dolarów od 2020 roku

LockBit, ciesząca się złą sławą operacja ransomware-as-a-service (RaaS), zdołała wyłudzić oszałamiającą kwotę 91 milionów dolarów od różnych amerykańskich organizacji poprzez setki ataków od 2020 roku. Wspólny biuletyn opublikowany przez wiele międzynarodowych organów, w tym amerykański Urząd ds. Security Agency (CISA) i FBI rzuciły światło na rozmiary szkód wyrządzonych przez LockBit.

Biuletyn ujawnia, że LockBit działa jako RaaS, zachęcając podmioty stowarzyszone do przeprowadzania ataków ransomware przy użyciu ich platformy. Doprowadziło to do powstania sieci różnych cyberprzestępców przeprowadzających różne rodzaje ataków. LockBit, który pojawił się pod koniec 2019 r., zachował swój destrukcyjny i płodny charakter, a statystyki Malwarebytes wskazują, że tylko w maju 2023 r. atakował do 76 ofiar. Gang ransomware, który prawdopodobnie ma powiązania z Rosją, przyznał się do dotychczasowych ponad 1653 ataków ransomware.

LockBit nie oszczędził żadnego sektora infrastruktury krytycznej, atakując branże takie jak finanse, rolnictwo, edukacja, energia, rząd, opieka zdrowotna, produkcja i transport. Przeszedł znaczące ulepszenia, w tym LockBit Red w czerwcu 2021 r., LockBit Black w marcu 2022 r. I LockBit Green w styczniu 2023 r., z których ta ostatnia jest oparta na ujawnionym kodzie źródłowym zdemontowanego gangu Conti. Oprogramowanie ransomware rozszerzyło również swój zasięg na systemy Linux, VMware ESXi i Apple macOS, co czyni je stale ewoluującym zagrożeniem.

Model biznesowy LockBit polega na wynajmowaniu narzędzi ransomware podmiotom stowarzyszonym, które przeprowadzają ataki i operacje wyłudzeń. Co niezwykłe, grupa umożliwia podmiotom stowarzyszonym otrzymywanie okupu bezpośrednio przed udostępnieniem części głównym programistom.

LockBit wykorzystuje różne luki w zabezpieczeniach

Ataki zorganizowane przez LockBit wykorzystywały luki w różnych systemach, w tym niedawno ujawnione luki w serwerach Fortra GoAnywhere Managed File Transfer (MFT) i PaperCut MF/NG. Ponadto w celu wstępnego dostępu wykorzystano znane luki w urządzeniach Apache Log4j2, F5 BIG-IP i BIG-IQ oraz Fortinet.

Partnerzy LockBit wykorzystali ponad trzy tuziny bezpłatnych i otwartych narzędzi do przeprowadzania rekonesansu sieci, ustanawiania zdalnego dostępu, przeprowadzania zrzucania poświadczeń i eksfiltracji plików. Warto zauważyć, że legalne oprogramowanie zespołu czerwonych, takie jak Metasploit i Cobalt Strike, również było nadużywane podczas tych włamań.

Sukces LockBit można przypisać jego ciągłym innowacjom, w szczególności przyjaznemu dla użytkownika panelowi administracyjnemu, który upraszcza wdrażanie oprogramowania ransomware osobom o ograniczonej wiedzy technicznej. Grupa nieustannie weryfikuje swoją taktykę, techniki i procedury (TTP), aby pozostać w czołówce.

W odpowiedzi na zagrożenie CISA wydała wiążącą dyrektywę operacyjną, w której instruuje agencje federalne, aby zabezpieczały urządzenia sieciowe wystawione na publiczny Internet i minimalizowały powierzchnię ataku. Dyrektywa ta ma na celu ograniczenie ryzyka wykorzystywania przez cyberprzestępców urządzeń sieciowych w celu uzyskania nieograniczonego dostępu do sieci organizacji.

Ponadto w niedawnym poradniku zwrócono uwagę na potencjalne zagrożenia związane z implementacjami Baseboard Management Controller (BMC), które mogą zapewnić cyberprzestępcom przyczółek i możliwości wykonania przed uruchomieniem.