Atores do LockBit Ransomware ganharam mais de $ 90 milhões desde 2020

LockBit, uma notória operação de ransomware como serviço (RaaS), conseguiu extorquir impressionantes $ 91 milhões de várias organizações dos EUA por meio de centenas de ataques desde 2020. Um boletim conjunto publicado por várias autoridades internacionais, incluindo o US Cybersecurity and Infrastructure Security Agency (CISA) e o FBI, lançam luz sobre a extensão dos danos causados pelo LockBit.

O boletim revela que o LockBit opera como um RaaS, atraindo afiliados para realizar ataques de ransomware usando sua plataforma. Isso levou a uma rede de diferentes agentes de ameaças executando diversos tipos de ataques. O LockBit, que surgiu no final de 2019, manteve sua natureza disruptiva e prolífica, com estatísticas do Malwarebytes indicando que atingiu até 76 vítimas apenas em maio de 2023. A gangue de ransomware, que acredita-se ter ligações com a Rússia, reivindicou a responsabilidade por mais de 1.653 ataques de ransomware até o momento.

A LockBit não poupou nenhum setor de infraestrutura crítica, visando setores como finanças, agricultura, educação, energia, governo, saúde, manufatura e transporte. Ele passou por atualizações significativas, incluindo LockBit Red em junho de 2021, LockBit Black em março de 2022 e LockBit Green em janeiro de 2023, o último dos quais é baseado no código-fonte vazado da gangue Conti desmantelada. O ransomware também expandiu seu alcance para atingir os sistemas Linux, VMware ESXi e Apple macOS, tornando-se uma ameaça em constante evolução.

O modelo de negócios da LockBit envolve o aluguel de suas ferramentas de ransomware para afiliados que executam os ataques e as operações de extorsão. Excepcionalmente, o grupo permite que os afiliados recebam pagamentos de resgate diretamente antes de compartilhar uma parte com os desenvolvedores principais.

LockBit aproveita várias vulnerabilidades

Os ataques orquestrados pelo LockBit exploraram vulnerabilidades em vários sistemas, incluindo falhas recentemente divulgadas nos servidores Fortra GoAnywhere Managed File Transfer (MFT) e PaperCut MF/NG. Além disso, vulnerabilidades conhecidas nos dispositivos Apache Log4j2, F5 BIG-IP e BIG-IQ e Fortinet foram exploradas para acesso inicial.

As afiliadas da LockBit utilizaram mais de três dúzias de ferramentas freeware e de código aberto para conduzir reconhecimento de rede, estabelecer acesso remoto, executar despejo de credenciais e exfiltrar arquivos. Notavelmente, o software legítimo da equipe vermelha, como Metasploit e Cobalt Strike, também foi abusado nessas invasões.

O sucesso do LockBit pode ser atribuído à sua inovação constante, particularmente seu painel administrativo amigável que simplifica a implantação de ransomware para indivíduos com conhecimento técnico limitado. O grupo revisa continuamente suas táticas, técnicas e procedimentos (TTPs) para ficar à frente.

Em resposta à ameaça, a CISA emitiu uma Diretriz Operacional Vinculante instruindo as agências federais a proteger os dispositivos de rede expostos à Internet pública e minimizar a superfície de ataque. Esta diretiva visa mitigar o risco de agentes de ameaças alavancarem dispositivos de rede para obter acesso irrestrito a redes organizacionais.

Além disso, um comunicado recente destacou os riscos potenciais associados às implementações do Baseboard Management Controller (BMC), que podem fornecer aos agentes de ameaças uma base de apoio e recursos de execução pré-inicialização.