Количество атак программ-вымогателей LockBit 2.0 во всем мире растет
Исследователи безопасности заметили рост атак с использованием последней версии вымогателя LockBit с новыми жертвами в Южной Америке, Азии и Европе.
Ранее мы описывали атаку LockBit 2.0, которая была успешно нацелена на огромную консалтинговую компанию Accenture. По словам некоторых аналитиков, злоумышленники якобы просили выкуп в размере 50 миллионов долларов и якобы похитили около 6 ТБ конфиденциальных данных Accenture. Консалтинговая компания заявила, что атака не оказала значительного воздействия, системы были быстро заблокированы, а воздействие было минимальным, а данные были успешно восстановлены из резервных копий.
Новые атаки последовали за выкупом Accenture. Исследователи сообщают о нападениях на организации, расположенные на Тайване, в Великобритании и Чили. Сообщается, что новая версия вымогателя использует улучшенное многопоточное шифрование и может похвастаться одним из самых быстрых методов шифрования в данной области. Также похоже, что LockBit 2.0 шифрует только очень небольшую часть каждого файла, который он скремблирует, при этом зашифровывается только 4-килобайтный фрагмент каждого файла, что значительно ускоряет процесс.
Злоумышленник, стоящий за LockBit, также экспериментирует с новой тактикой социальной инженерии. Хакеры пытаются дозвониться до сотрудников компании и подкупить их для сотрудничества. Есть сообщения о том, что вредоносные программы меняют обои сотрудников, рекламные выплаты в миллионы долларов за рабочие учетные данные позволяют хакерам проникнуть в целевую организацию.
Как только LockBit 2.0 попадает в сеть, он получает в свое распоряжение разнообразный арсенал инструментов. Существует сетевой сканер, который выделяет контроллеры домена, а также массив файлов .bat, которые включают автоматизацию для большого количества задач, включая включение RDP, отключение любого антивирусного программного обеспечения или программного обеспечения безопасности и очистку журналов событий для минимизации вредоносных программ. след.
После установки своих основных процедур LockBit начинает перемещаться по сети жертвы, начиная с отправки новых групповых политик на подключенные устройства. Эти политики обеспечивают отключение Защитника Windows, а затем распространение и выполнение полезной нагрузки на каждом найденном устройстве Windows.
После шифрования изображение рабочего стола заменяется описанным выше сообщением о найме, обычными инструкциями по выкупу и угрозой того, что уже зашифрованные файлы могут быть опубликованы в случае неуплаты выкупа.
Исследователи также обнаружили некоторое сходство в поведении LockBit 2.0 и других печально известных штаммов вымогателей, таких как Ryuk и Egregor, что указывает на хотя бы частичное перекрытие кода.