Pesquisadores divulgaram um comunicado conjunto sobre segurança cibernética detalhando os indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs) associados ao notório ransomware LockBit 3.0 .
Desde que surgiram no final de 2019, os atores do LockBit investiram esforços técnicos significativos para desenvolver e ajustar seu malware, lançando duas atualizações importantes, LockBit 2.0, lançado em meados de 2021, e LockBit 3.0 , lançado em junho de 2022. As duas versões são também conhecido como LockBit Red e LockBit Black, respectivamente.
“O LockBit 3.0 aceita argumentos adicionais para operações específicas em movimento lateral e reinicialização no modo de segurança”, de acordo com o alerta . “Se um afiliado da LockBit não tiver acesso ao ransomware LockBit 3.0 sem senha, um argumento de senha será obrigatório durante a execução do ransomware.”
O acesso inicial às redes das vítimas é obtido por meio da exploração do protocolo de área de trabalho remota (RDP), comprometimento drive-by, campanhas de phishing, abuso de contas válidas e armamento de aplicativos voltados para o público.
Ao encontrar um ponto de entrada bem-sucedido, o malware toma medidas para estabelecer persistência, escalar privilégios, realizar movimentação lateral e limpar arquivos de log, arquivos na pasta da Lixeira do Windows e cópias de sombra antes de iniciar a rotina de criptografia.
“As afiliadas da LockBit foram observadas usando várias ferramentas freeware e de código aberto durante suas invasões”, disseram as agências. “Essas ferramentas são usadas para uma série de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos.”
Uma característica definidora dos ataques é o uso de uma ferramenta de exfiltração personalizada conhecida como StealBit , que o grupo LockBit fornece aos afiliados para fins de dupla extorsão.
Em novembro, pesquisadores informaram que a variedade de ransomware LockBit foi usada contra pelo menos 1.000 vítimas em todo o mundo, gerando mais de US$ 100 milhões em lucros ilícitos para a operação.
Pesquisadores, no início deste ano, revelaram que o LockBit 3.0 foi responsável por 21% dos 189 ataques de ransomware detectados contra infraestrutura crítica no quarto trimestre de 2022, respondendo por 40 incidentes. A maioria desses ataques afetou os setores de alimentos e bebidas e manufatura.
Além disso, em seu último relatório sobre crimes na Internet , listou LockBit (149), BlackCat (114) e Hive (87) como as três principais variantes de ransomware vitimando infraestrutura crítica em 2022.
Apesar da prolífica onda de ataques do LockBit, a gangue de ransomware sofreu um grande golpe no final de setembro de 2022, quando um desenvolvedor descontente do LockBit lançou o código do construtor para o LockBit 3.0, levantando preocupações de que outros criminosos pudessem tirar proveito da situação e gerar suas próprias variantes.
REFERÊNCIAS:
https://thehackernews.com/2023/03/lockbit-30-ransomware-inside.html
https://www.ic3.gov/Home/AnnualReports
https://www.dragos.com/blog/industry-news/dragos-industrial-ransomware-analysis-q4-2022/