LockBit – внутри миллионной индустрии вымогательства

• 20 марта, 2023
• 20:30

Правительственные агентства США выпустили совместный бюллетень по кибербезопасности , в котором подробно описаны индикаторы компрометации (IoC (Indicator of Compromise) — это признак компрометации в кибербезопасности. Это может быть файл, сетевой адрес, реестр Windows или другой объект, который может быть использован для обнаружения или подтверждения наличия киберугрозы в ИТ-системе.

» data-html=»true» data-original-title=»IoC»>IoC), а также тактики, техники и процедуры (TTPs (Tactics, Techniques, and Procedures) — метод определения поведения и стратегий, которые злоумышленник использует в кибератаке.

Тактика — способ получения доступа к сети жертвы;
Техника — инструменты, которые использует хакер во время атаки;
Процедуры — описание того, как киберпреступник использует техники.

» data-html=»true» data-original-title=»TTPs»>TTPs) программы-вымогателя LockBit — это операторы одноименного вируса-шифровальщика, одной их характерных черт поведения которых является тактика двойного давления. Она заключается в том, чтобы скопировать файлы атакованной компании перед тем, как их повредить. После этого Lockbit обещает опубликовать конфиденциальную информацию жертвы, если она в скором времени не заплатит выкуп.

» data-html=»true» data-original-title=»LockBit»>LockBit 3.0.

Предупреждение поступило от ФБР, Агентства по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency (CISA) — это агентство, которое отвечает за защиту критической инфраструктуры США от киберугроз. Оно осуществляет мониторинг и анализ угроз, разрабатывает рекомендации по защите и обеспечивает техническую и информационную поддержку для организаций в этой отрасли. CISA также сотрудничает с другими правительственными агентствами и частным сектором для улучшения кибербезопасности в стране.

» data-html=»true» data-original-title=»CISA»>CISA) и Центра обмена и анализа информации (MS-ISAC).

С момента появления в конце 2019 года хакеры LockBit выпустили две версии своей программы-вымогателя — LockBit 2.0 (LockBit Red) (2021 год) и LockBit 3.0 (LockBit Black) (2022 год). Программа-вымогатель настроена таким образом, что не заражает компьютеры со следующими языковыми настройками: румынский (Молдова), арабский (Сирия) и татарский (Россия).

Первоначальный доступ к сетям жертв достигается с помощью RDP-протокола, компрометации, фишинговых кампаний, злоупотребления действительными учетными записями и использования общедоступных приложений в качестве инструмента взлома.

Проникнув в систему, вредоносная программа предпринимает шаги для установления постоянства, повышения привилегий, выполнения бокового перемещения, а также очистки файлов журнала, корзины и теневых копий перед запуском процедуры шифрования.

Кроме того, аффилированные лица LockBit использовали различные бесплатные программы и инструменты с открытым исходным кодом. Эти инструменты используются для множества действий – сетевая разведка, удаленный доступ и туннелирование, сброс учетных данных и эксфильтрация файлов.

Одной из определяющих характеристик атак является использование специального инструмента для эксфильтрации под названием StealBit , который группа LockBit предоставляет аффилированным лицам для целей двойного вымогательства.

Стоит отметить, что по данным
Минюста США на ноябрь 2022 года, вымогатель LockBit заразил как минимум 1000 жертв по всему миру, что принесло более $100 млн. прибыли.

Также ИБ-компания Dragos ранее сообщала , что LockBit 3.0 стоит за 21% вымогательских атак на критическую инфраструктуру в четвертом квартале 2022 года (40 из 189). Большинство этих атак затронули секторы производства продуктов питания, напитков и промышленности.

Несмотря на многочисленные атаки LockBit, в конце сентября 2022 года банде вымогателей был нанесен огромный удар, когда недовольный разработчик LockBit выпустил код сборки для LockBit 3.0. Это вызвало опасения, что другие киберпреступники могут воспользоваться кодом и создать свои собственные варианты вредоносного ПО.