Ransomware-ul a apărut ca una dintre principalele amenințări cu care se confruntă organizațiile mari în ultimii ani, cercetătorii raportând mai mult de o creștere de patru ori a detecțiilor anul trecut. O infecție recentă provocată de o tulpină destul de nouă numită LockBit explică de ce: După ce a răsturnat o rețea slab securizată a unei companii în câteva ore, liderii nu aveau altă opțiune viabilă decât să plătească răscumpărarea.
Un raport publicat de McAfee documentează eficacitatea acestui nou ransomware . S-au ajutat la analiză respondenții incidenti cu operațiuni de securitate inteligentă de la Northwave . LockBit este cel mai răspândit în țări, inclusiv SUA, Marea Britanie, Franța, Germania, Ucraina, China, India și Indonezia.
Atacatorii au început cercetând potențialele ținte cu date valoroase și mijloacele de a face plăți mari atunci când se confruntă cu perspectiva slabă de a pierde accesul la aceasta. Atacatorii au folosit apoi o listă de cuvinte în speranța de a avea acces la unul dintre conturi. În cele din urmă, acestea au lovit jackpot-ul: un cont administrativ care a avut reinventare gratuită pe întreaga rețea. Parola slabă a contului, combinată cu lipsa protecției de autentificare multifactor, le-a oferit atacatorilor toate drepturile de sistem de care aveau nevoie.
Stealth, automatizare și discreție
Mulți concurenți LockBit precum Ryuk se bazează pe hackeri umani în direct , care, odată ce au obținut acces, petrec o cantitate mare de timp cercetând și supravegheând rețeaua unei ținte, înainte de a elibera codul care o va cripta. LockBit a funcționat diferit.
“Partea interesantă a acestei piese de ransomware este că este complet auto-răspândită”, a declarat Patrick van Looy, specialist în cibersecuritate la Northwave, una dintre firmele care au răspuns la infecție. „Prin urmare, atacatorul a fost în interiorul rețelei doar câteva ore. În mod normal, vedem că un atacator este în rețea zile întregi sau chiar săptămâni și face această recunoaștere a rețelei manual. ”
După ce a intrat, LockBit a folosit o metodă duală pentru a cartografia și a infecta rețeaua victimizată. Tabelele ARP, care mapează adresele IP locale către adresele MAC ale dispozitivului, au ajutat la localizarea sistemelor accesibile, iar blocul de mesaje al serverului , un protocol utilizat pentru partajarea fișierelor și folderelor între mașinile în rețea, a permis conectarea nodurilor infectate la cele neinfectate. LockBit ar urma să execute un script PowerShell care să răspândească ransomware-urile la aceste mașini.
Folosind SMB, tabele ARP și PowerShell este un mod din ce în ce mai obișnuit de a răspândi malware în întreaga rețea și cu un motiv întemeiat. Deoarece aproape toate rețelele se bazează pe aceste instrumente, este greu ca antivirusul și alte apărări ale rețelei să detecteze utilizarea lor rău intenționată. LockBit avea un alt mijloc de a rămâne pe furiș. Fișierul rău intenționat descărcat de scriptul PowerShell a fost deghizat în imagine PNG. De fapt, fișierul descărcat a fost un program de executat care a criptat fișierele pe aparat.
LockBit a avut un alt truc inteligent. Înainte de criptarea datelor ransomware, aceasta s-a conectat la un server controlat de un atacator și apoi a utilizat adresa IP a mașinii pentru a determina unde a fost localizată. Dacă s-ar afla în Rusia sau într-o altă țară care aparține Comunității Statelor Independente , aceasta ar anula procesul. Motivul este cel mai probabil să împiedice urmărirea penală de către autoritățile de aplicare a legii.
Asistență pentru clienți, determinare și încredere
Într-un eșec tragic, dar prea comun, organizația care a fost lovită de LockBit nu a avut backup recent. Cu întreaga rețea legată, liderii au ales să plătească răscumpărarea sau să își piardă datele pentru totdeauna. Au optat pentru prima opțiune.
Folosind un site Tor , organizația a plătit răscumpărarea și, după câteva ore, a folosit același serviciu anonim pentru a obține cheia de decriptare. La fel ca mulți alți operatori de ransomware, cei din spatele acestui atac aveau un birou de asistență care comunica prin intermediul mesagerului Jabber anonimizat pentru a rezolva mai multe probleme pe care organizația le are în reconstrucția rețelei blocate.
LockBit este vândut pe forumuri de broker subterane, care necesită adesea vânzătorilor să depună un depozit pe care clienții îl pot recupera în cazul în care marfa nu va face așa cum este anunțată. În dovedirea încrederii și determinării lor, vânzătorii LockBit au scos aproape 75.000 de dolari.
McAfee și Northwave nu sunt singurele firme de securitate care au luat cunoștință de LockBit, pe care creatorii săi îl oferă ca un ransomware-ca-serviciu clienților, care apoi îl folosesc pentru a infecta și a plăti exacte din ținte. Săptămâna trecută, Sophos a furnizat propriul raport asupra ransomware-ului.
Ferește-te de utilizator
Sophos a spus că noul malware a adăugat o varietate de noi funcții, inclusiv o tehnică de escaladare a privilegiilor care poate ocoli Controlul contului de utilizator care necesită o deconectare a utilizatorului înainte ca o aplicație să poată rula cu permisiuni administrative. Această caracteristică este utilă în cazul în care programul malware primește o rețea în rețea, dar are privilegii limitate. Sophos a mai spus că LockBit descarcă datele victimelor sale, astfel încât operatorii să le poată posta online dacă victimele nu plătesc, o tactică urmată de alte ransomware precum Maze, Sodinokibi, Nemty și DoppelPaymer.
Contul de vineri este o poveste de precauție care evidențiază pericolele parolelor slabe, lipsa autentificării multifactorilor și alte măsuri de apărare în profunzime. Analiza, împreună cu contul lovit-de-lovit al modului în care LockBit a trecut prin abur prin rețeaua unei organizații în câteva ore, sugerează că ransomware-ul poate câștiga paritatea într-o zi cu alte pachete de ransomware precum Maze, Sodinokibi și Ryuk.
“Se pare că LockBit s-a alăturat scenei subterane cu o determinare clară de a face afaceri”, a concluzionat raportul de vineri. „Autorii au pus un depozit în valoare de peste 10,5 BTC pentru a-l garanta, pentru a-și construi încredere, așa cum se arată pe unul dintre forumuri. Telemetria noastră arată că activitatea LockBit este încă limitată astăzi, dar cu siguranță ne putem aștepta să vedem mai multe atacuri LockBit personalizate în viitorul apropiat. ”
Această poveste a apărut inițial pe Ars Technica .