Актеры программы-вымогателя LockBit заработали более 90 миллионов долларов с 2020 года

LockBit, печально известная операция «программа-вымогатель как услуга» (RaaS), с 2020 года сумела вымогать ошеломляющую сумму в 91 миллион долларов у различных организаций США посредством сотен атак. Агентство безопасности (CISA) и ФБР проливают свет на масштабы ущерба, причиненного LockBit.

Бюллетень показывает, что LockBit работает как RaaS, побуждая аффилированных лиц проводить атаки программ-вымогателей с использованием их платформы. Это привело к созданию сети разрозненных субъектов угроз, выполняющих различные типы атак. LockBit, появившийся в конце 2019 года, сохранил свой разрушительный и продуктивный характер: статистика Malwarebytes показывает, что только в мае 2023 года он нацелился на 76 жертв. Банда вымогателей, которая, как полагают, имеет связи с Россией, на сегодняшний день взяла на себя ответственность за более чем 1653 атаки программ-вымогателей.

LockBit не пощадил критически важный сектор инфраструктуры, ориентируясь на такие отрасли, как финансы, сельское хозяйство, образование, энергетика, правительство, здравоохранение, производство и транспорт. Он претерпел значительные обновления, в том числе LockBit Red в июне 2021 года, LockBit Black в марте 2022 года и LockBit Green в январе 2023 года, последний из которых основан на утечке исходного кода расформированной банды Conti. Программа-вымогатель также распространила свое воздействие на системы Linux, VMware ESXi и Apple macOS, что делает ее постоянно развивающейся угрозой.

Бизнес-модель LockBit предполагает сдачу в аренду своих программ-вымогателей аффилированным лицам, которые осуществляют атаки и операции по вымогательству. Необычно то, что группа позволяет аффилированным лицам получать выкуп непосредственно перед тем, как разделить часть с основными разработчиками.

LockBit использует различные уязвимости

Атаки, организованные LockBit, использовали уязвимости в различных системах, в том числе недавно обнаруженные недостатки в серверах Fortra GoAnywhere Managed File Transfer (MFT) и PaperCut MF/NG. Кроме того, для начального доступа использовались известные уязвимости в Apache Log4j2, F5 BIG-IP и BIG-IQ, а также в устройствах Fortinet.

Филиалы LockBit использовали более трех десятков бесплатных программ и инструментов с открытым исходным кодом для проведения сетевой разведки, установления удаленного доступа, выполнения дампа учетных данных и эксфильтрации файлов. Примечательно, что в ходе этих вторжений также использовались законные программы Red Team, такие как Metasploit и Cobalt Strike.

Успех LockBit можно объяснить его постоянными инновациями, особенно его удобной административной панелью, которая упрощает развертывание программ-вымогателей для людей с ограниченными техническими знаниями. Группа постоянно пересматривает свою тактику, методы и процедуры (ТТР), чтобы оставаться впереди.

В ответ на угрозу CISA издало обязывающую оперативную директиву, предписывающую федеральным агентствам защищать сетевые устройства, открытые для общедоступного Интернета, и минимизировать поверхность атаки. Эта директива направлена на снижение риска использования злоумышленниками сетевых устройств для получения неограниченного доступа к сетям организации.

Кроме того, в недавнем информационном бюллетене были отмечены потенциальные риски, связанные с реализациями контроллера управления основной платой (BMC), которые могут предоставить злоумышленникам плацдарм и возможности выполнения перед загрузкой.