Το Ομοσπονδιακό Γραφείο Ερευνών (FBI), η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών (CISA) και το Πολυ-πολιτειακό Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών (MS-ISAC) εξέδωσαν αυτήν την εβδομάδα μια ειδοποίηση σχετικά με τη λειτουργία ransomware LockBit 3.0.
Από τον Ιανουάριο του 2020, το LockBit λειτουργεί με βάση το μοντέλο ransomware-as-a-service (RaaS), στοχεύοντας ένα ευρύ φάσμα επιχειρήσεων και οντοτήτων ζωτικής σημασίας υποδομής και χρησιμοποιώντας μια ποικιλία τακτικών, τεχνικών και διαδικασιών (TTP).
Αναφέρεται επίσης ως LockBit Black, το LockBit 3.0 έχει μια πιο αρθρωτή αρχιτεκτονική σε σύγκριση με τις προηγούμενες παραλλαγές του και υποστηρίζει διάφορα ορίσματα που τροποποιούν τη συμπεριφορά του μετά την ανάπτυξη.
Για να παρεμποδιστεί η ανάλυση και ο εντοπισμός, τα προγράμματα εγκατάστασης LockBit 3.0 είναι κρυπτογραφημένα και μπορούν να εκτελεστούν μόνο εάν παρέχεται κωδικός πρόσβασης, εξηγούν το FBI, η CISA και το MS-ISAC στο μια κοινή συμβουλευτική.
Το κακόβουλο λογισμικό υποστηρίζει επίσης συγκεκριμένα επιχειρήματα για πλευρική κίνηση, μπορεί να επανεκκινήσει συστήματα σε ασφαλή λειτουργία και εκτελεί έλεγχο γλώσσας κατά την εκτέλεση για να αποφύγει τη μόλυνση συστημάτων που χρησιμοποιούν συγκεκριμένες ρυθμίσεις γλώσσας, όπως αραβικά (Συρία), ρουμανικά (Μολδαβία), ταταρικά (Ρωσία) , και άλλοι.
Στις παρατηρούμενες επιθέσεις LockBit 3.0, η αρχική πρόσβαση επιτυγχάνεται μέσω της παραβίασης του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), των επιθέσεων μέσω κίνησης, του ηλεκτρονικού ψαρέματος, των παραβιασμένων διαπιστευτηρίων και της εκμετάλλευσης τρωτών σημείων σε εφαρμογές που αντιμετωπίζουν το κοινό.
Στη συνέχεια, το κακόβουλο λογισμικό επιχειρεί να κλιμακώσει τα προνόμια, συλλέγει πληροφορίες συστήματος, τερματίζει συγκεκριμένες διεργασίες και υπηρεσίες, εκκινεί εντολές, επιτρέπει την αυτόματη σύνδεση για επιμονή και διαγράφει αρχεία καταγραφής, ανακυκλωμένα αρχεία και αντίγραφα πληροφοριών όγκου συστήματος.
Το ransomware χρησιμοποιεί μια κωδικοποιημένη λίστα διαπιστευτηρίων για να μετακινηθεί πλευρικά στο δίκτυο και μπορεί επίσης να εξαπλωθεί μέσω Αντικειμένων πολιτικής ομάδας και PsExec, μέσω του πρωτοκόλλου Μπλοκ μηνυμάτων διακομιστή (SMB).
Στη συνέχεια, το LockBit 3.0 κρυπτογραφεί όλα τα αρχεία σε τοπικές και απομακρυσμένες συσκευές, ρίχνει μια σημείωση λύτρων και αλλάζει την ταπετσαρία και τα εικονίδια στην επωνυμία του. Αφού ολοκληρωθεί η διαδικασία, το κακόβουλο λογισμικό ενδέχεται να διαγραφεί από το μηχάνημα.
Ως μέρος των επιθέσεων που παρατηρήθηκαν, οι χειριστές του LockBit 3.0 εξήγαγαν ευαίσθητα δεδομένα χρησιμοποιώντας ένα προσαρμοσμένο εργαλείο που ονομάζεται Stealbit, έναν διαχειριστή αποθήκευσης cloud γραμμής εντολών ανοιχτού κώδικα και δημόσιες υπηρεσίες κοινής χρήσης αρχείων.
Πολλά δωρεάν λογισμικό και εργαλεία ανοιχτού κώδικα μπορούν επίσης να χρησιμοποιηθούν σε επιθέσεις, για αναγνώριση δικτύου, απομακρυσμένη πρόσβαση, εξαγωγή δεδομένων και απόρριψη διαπιστευτηρίων. Έχουν παρατηρηθεί επίσης σενάρια PowerShell και batch, μαζί με εμφυτεύματα Metasploit και Cobalt Strike.
Συνιστάται στους οργανισμούς να εφαρμόζουν βέλτιστες πρακτικές ασφαλείας για τον μετριασμό των κινδύνων που σχετίζονται με το ransomware, συμπεριλαμβανομένης της υιοθέτησης ενός σχεδίου ανάκτησης, της χρήσης ισχυρών κωδικών πρόσβασης για όλους τους λογαριασμούς, της εφαρμογής πιστοποίησης πολλαπλών παραγόντων ανθεκτικών στο phishing, της ενημέρωσης όλων των συστημάτων και των εφαρμογών, της εφαρμογής τμηματοποίησης δικτύου. έλεγχος της μη φυσιολογικής δραστηριότητας στα δίκτυά τους, δημιουργία αντιγράφων ασφαλείας όλων των δεδομένων, απενεργοποίηση αχρησιμοποίητων θυρών και υπηρεσιών, έλεγχος λογαριασμών χρηστών και εγκατάσταση και διατήρηση μιας σύγχρονης λύσης ασφαλείας.