LockBit Ransomware-aktörer tjänade över 90 miljoner dollar sedan 2020

LockBit, en ökända ransomware-as-a-service (RaaS) operation, har lyckats pressa ut häpnadsväckande 91 miljoner dollar från olika amerikanska organisationer genom hundratals attacker sedan 2020. En gemensam bulletin publicerad av flera internationella myndigheter, inklusive USA:s cybersäkerhet och infrastruktur Security Agency (CISA) och FBI, belyser omfattningen av skadan orsakad av LockBit.

Bulletinen avslöjar att LockBit fungerar som en RaaS, vilket lockar affiliates att utföra ransomware-attacker med deras plattform. Detta har lett till ett nätverk av olika hotaktörer som utför olika typer av attacker. LockBit, som dök upp i slutet av 2019, har behållit sin störande och produktiva karaktär, med statistik från Malwarebytes som indikerar att den riktade sig mot upp till 76 offer bara i maj 2023. Ransomware-gänget, som tros ha kopplingar till Ryssland, har tagit på sig ansvaret för över 1 653 ransomware-attacker hittills.

LockBit har inte sparat någon kritisk infrastruktursektor och riktar sig till branscher som finans, jordbruk, utbildning, energi, myndigheter, hälsovård, tillverkning och transport. Den har genomgått betydande uppgraderingar, inklusive LockBit Red i juni 2021, LockBit Black i mars 2022 och LockBit Green i januari 2023, varav den senare är baserad på läckt källkod från det nedmonterade Conti-gänget. Ransomware har också utökat sin räckvidd till att rikta in sig på Linux, VMware ESXi och Apple macOS-system, vilket gör det till ett hot som ständigt utvecklas.

LockBits affärsmodell innebär att de hyr ut sina ransomware-verktyg till affiliates som utför attackerna och utpressningsoperationerna. Ovanligtvis tillåter gruppen affiliates att ta emot lösensummor direkt innan de delar en del med kärnutvecklarna.

LockBit utnyttjar olika sårbarheter

Attackerna som orkestrerats av LockBit har utnyttjat sårbarheter i olika system, inklusive nyligen avslöjade brister i Fortra GoAnywhere Managed File Transfer (MFT) och PaperCut MF/NG-servrar. Dessutom har kända sårbarheter i Apache Log4j2, F5 BIG-IP och BIG-IQ samt Fortinet-enheter utnyttjats för initial åtkomst.

LockBit affiliates har använt över tre dussin gratisprogram och open source-verktyg för att utföra nätverksspaning, etablera fjärråtkomst, utföra referensdumpning och exfiltrera filer. Noterbart, legitima röda team-programvara som Metasploit och Cobalt Strike har också missbrukats vid dessa intrång.

Framgången med LockBit kan tillskrivas dess ständiga innovation, särskilt dess användarvänliga administrativa panel som förenklar utplacering av ransomware för individer med begränsad teknisk expertis. Gruppen reviderar kontinuerligt sina taktiker, tekniker och procedurer (TTP) för att ligga i framkant.

Som svar på hotet utfärdade CISA ett bindande operativt direktiv som instruerade federala myndigheter att säkra nätverksenheter exponerade för det offentliga internet och minimera attackytan. Detta direktiv syftar till att minska risken för hotaktörer som utnyttjar nätverksenheter för att få obegränsad tillgång till organisatoriska nätverk.

Dessutom belyste en nyligen publicerad rådgivning de potentiella riskerna förknippade med implementeringar av Baseboard Management Controller (BMC), som kan ge hotaktörer fotfäste och kapacitet att köra före start.