LockBit 2.0 Ransomware -attacker ökar över hela världen
Säkerhetsforskare har upptäckt en ökning av attacker med den senaste versionen av LockBit -ransomware, med nya offer i Sydamerika, Asien och Europa.
Vi har tidigare täckt LockBit 2.0 -attacken som framgångsrikt riktade sig mot det stora konsultföretaget Accenture, med hotaktörer som påstås begära 50 miljoner dollar i lösen, enligt vissa analytiker, och påstås ha stulit cirka 6 TB känslig Accenture -data. Konsultföretaget uppgav att det inte var någon signifikant påverkan av attacken, system låstes snabbt och påverkan var minimal, med data som återställdes framgångsrikt från säkerhetskopior.
De nya attackerna kommer i kölvattnet av lösensumman på Accenture. Forskare rapporterar attacker mot enheter i Taiwan, Storbritannien och Chile. Den nya versionen av ransomware använder enligt uppgift en förbättrad, flertrådad kryptering, med en av de snabbaste krypteringsmetoderna i fältet. Det verkar också som att LockBit 2.0 bara krypterar en mycket liten del av varje fil den krypterar, med bara en 4 kilobyte bit av varje fil som krypteras, vilket påskyndar processen avsevärt.
Hotaktören bakom LockBit experimenterar också med ny social engineering -taktik. Hackarna försöker ta sig till företagets anställda och muta dem till samarbete. Det finns rapporter om skadlig programvara som ändrar bakgrundsbild för anställda, reklamutbetalningar i miljoner dollar för arbetsuppgifter som gör att hackarna kan infiltrera målorganisationen.
När LockBit 2.0 väl hittar sin väg i ett nätverk har den en varierad arsenal av verktyg till sitt förfogande. Det finns en nätverksskanner som skiljer ut domänkontrollanter samt en rad .bat-filer som inkluderar automatisering för ett stort antal uppgifter, inklusive att möjliggöra RDP, stänga av antimalware eller säkerhetsprogram och spola händelseloggar för att minimera skadlig programvara fotavtryck.
Efter att ha fastställt sina grundläggande rutiner börjar LockBit röra sig i sidled över offernätverket och börjar med att skicka ut nya grupprinciper till anslutna enheter. Denna policy tar hand om att stänga av Windows Defender och sedan sprida och köra nyttolasten på varje Windows -enhet som hittas.
När kryptering har ägt rum ersätts skrivbordsbilden med rekryteringsmeddelandet som beskrivs ovan, de vanliga lösningsinstruktionerna och hotet om att redan krypterade filer kan släppas ut för allmänheten om lösen inte betalas.
Forskare har också upptäckt vissa likheter i beteendet hos LockBit 2.0 och andra ökända ransomware -stammar som Ryuk och Egregor, vilket tyder på åtminstone partiell kodöverlappning.