Liczba ataków ransomware LockBit 2.0 wzrasta na całym świecie
Badacze bezpieczeństwa zauważyli wzrost ataków przy użyciu najnowszej wersji oprogramowania ransomware LockBit, z nowymi ofiarami w Ameryce Południowej, Azji i Europie.
Wcześniej omawialiśmy atak LockBit 2.0, który skutecznie wymierzył ogromną firmę konsultingową Accenture, a cyberprzestępcy rzekomo żądali 50 milionów dolarów okupu, według niektórych analityków, i rzekomo kradli około 6 TB poufnych danych Accenture. Firma konsultingowa stwierdziła, że atak nie miał znaczącego wpływu, systemy zostały szybko zablokowane, a wpływ był minimalny, a dane z powodzeniem przywrócono z kopii zapasowych.
Nowe ataki są następstwem okupu na Accenture. Badacze zgłaszają ataki na podmioty zlokalizowane na Tajwanie, w Wielkiej Brytanii i Chile. Nowa wersja ransomware podobno wykorzystuje ulepszone, wielowątkowe szyfrowanie, oferując jedną z najszybszych metod szyfrowania w tej dziedzinie. Wydaje się również, że LockBit 2.0 szyfruje tylko bardzo małą część każdego zaszyfrowanego pliku, a tylko 4 kilobajtowy fragment każdego pliku jest szyfrowany, co znacznie przyspiesza proces.
Zagrożenia stojące za LockBit również eksperymentują z nowymi taktykami socjotechniki. Hakerzy próbują dotrzeć do pracowników firmy i przekupić ich do współpracy. Istnieją doniesienia o tym, że złośliwe oprogramowanie zmienia tapety pracowników, wypłaty reklamowe w milionach dolarów za działające dane uwierzytelniające, które pozwolą hakerom na infiltrację organizacji docelowej.
Gdy LockBit 2.0 znajdzie się w sieci, ma do dyspozycji zróżnicowany arsenał narzędzi. Istnieje skaner sieciowy, który wyróżnia kontrolery domeny, a także szereg plików .bat, które obejmują automatyzację dużej liczby zadań, w tym włączanie protokołu RDP, zamykanie wszelkich programów chroniących przed złośliwym oprogramowaniem lub zabezpieczeniami oraz opróżnianie dzienników zdarzeń w celu zminimalizowania złośliwego oprogramowania ślad stopy.
Po ustaleniu podstawowych procedur, LockBit zaczyna poruszać się na boki w sieci ofiary, zaczynając od wysyłania nowych polityk grupowych do podłączonych urządzeń. Zasady te zapewniają wyłączenie programu Windows Defender, a następnie rozproszenie i wykonanie ładunku na każdym znalezionym urządzeniu z systemem Windows.
Po zaszyfrowaniu obraz pulpitu zostaje zastąpiony wiadomością rekrutacyjną opisaną powyżej, zwykłymi instrukcjami dotyczącymi okupu i groźbą, że już zaszyfrowane pliki mogą zostać ujawnione publicznie, jeśli okup nie zostanie zapłacony.
Badacze zauważyli również pewne podobieństwa w zachowaniu LockBit 2.0 i innych niesławnych odmian oprogramowania ransomware, takich jak Ryuk i Egregor, co wskazuje na przynajmniej częściowe nakładanie się kodu.