Ataques de ransomware LockBit 2.0 aumentam em todo o mundo
Os pesquisadores de segurança detectaram um aumento nos ataques usando a versão mais recente do ransomware LockBit, com novas vítimas na América do Sul, Ásia e Europa.
Anteriormente, cobrimos o ataque LockBit 2.0 que atingiu com sucesso a grande empresa de consultoria Accenture, com atores de ameaças supostamente pedindo $ 50 milhões em resgate, de acordo com alguns analistas, e supostamente roubando cerca de 6 TB de dados confidenciais da Accenture. A empresa de consultoria afirmou que não houve impacto significativo do ataque, os sistemas foram rapidamente bloqueados e o impacto foi mínimo, com os dados restaurados com sucesso a partir de backups.
Os novos ataques vêm na sequência do resgate acertado na Accenture. Pesquisadores estão relatando ataques a entidades localizadas em Taiwan, Reino Unido e Chile. A nova versão do ransomware está usando uma criptografia multi-thread aprimorada, ostentando um dos métodos de criptografia mais rápidos no campo. Também parece que o LockBit 2.0 criptografa apenas uma pequena parte de cada arquivo que embaralha, com apenas 4 kilobytes de cada arquivo sendo criptografado, o que acelera o processo significativamente.
O ator de ameaça por trás do LockBit também está experimentando novas táticas de engenharia social. Os hackers estão tentando chegar até os funcionários da empresa e suborná-los para que cooperem. Há relatos de malware mudando papéis de parede de funcionários, pagamentos de publicidade na casa dos milhões de dólares por credenciais de trabalho que permitirão aos hackers se infiltrarem na organização-alvo.
Depois que o LockBit 2.0 encontra seu caminho em uma rede, ele tem um arsenal variado de ferramentas à sua disposição. Há uma varredura de rede que seleciona controladores de domínio, bem como uma série de arquivos .bat que incluem automação para um grande número de tarefas, incluindo habilitar RDP, desligar qualquer software de segurança ou antimalware e liberar logs de eventos para minimizar os malwares pegada.
Depois de estabelecer suas rotinas básicas, o LockBit começa a se mover lateralmente pela rede da vítima, começando com o envio de novas políticas de grupo para os dispositivos conectados. Essas políticas se encarregam de desligar o Windows Defender e, em seguida, espalhar e executar a carga em cada dispositivo Windows encontrado.
Assim que a criptografia ocorrer, a imagem da área de trabalho será substituída pela mensagem de recrutamento descrita acima, as instruções usuais de resgate e a ameaça de que os arquivos já criptografados possam ser liberados ao público caso o resgate não seja pago.
Os pesquisadores também notaram algumas semelhanças nos comportamentos do LockBit 2.0 e outras cepas de ransomware infames, como Ryuk e Egregor, indicando pelo menos sobreposição parcial do código.
