Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) δημοσίευσε τεχνικές λεπτομέρειες και δείκτες συμβιβασμού που σχετίζονται με επιθέσεις ransomware LockBit σε μια νέα ειδοποίηση flash που δημοσιεύτηκε αυτήν την Παρασκευή.
Παρείχε επίσης πληροφορίες για να βοηθήσει τους οργανισμούς να μπλοκάρουν τις προσπάθειες αυτού του αντιπάλου να παραβιάσει τα δίκτυά τους και ζήτησε από τα θύματα να αναφέρουν επειγόντως τέτοια περιστατικά στην τοπική ομάδα Cyber του FBI.
Η ransomware LockBit είναι πολύ ενεργή από τον Σεπτέμβριο του 2019, όταν ξεκίνησε ως ransomware-as-a-service (RaaS), με εκπροσώπους συμμοριών να προωθούν τη λειτουργία, να παρέχουν υποστήριξη σε φόρουμ πειρατείας στη ρωσική γλώσσα και να στρατολογούν παράγοντες απειλών για παραβίαση και κρυπτογράφηση δικτύων.
Δύο χρόνια αργότερα, τον Ιούνιο του 2021, η LockBit ανακοίνωσε το LockBit 2.0 RaaS της για διαρροές δεδομένων, αφού απαγορεύτηκε στους ηθοποιούς ransomware να δημοσιεύουν σε φόρουμ για το έγκλημα στον κυβερνοχώρο [1, 2].
Με την επανεκκίνηση, η συμμορία ransomware επανασχεδίασε τους ιστότοπους Tor και αναθεώρησε το κακόβουλο λογισμικό, προσθέτοντας πιο προηγμένες λειτουργίες, συμπεριλαμβανομένης της αυτόματης κρυπτογράφησης συσκευών σε τομείς των Windows μέσω πολιτικών ομάδας Active Directory.
Η συμμορία τώρα προσπαθεί επίσης να αφαιρέσει τους μεσάζοντες στρατολογώντας εμπιστευμένους για να τους παρέχει πρόσβαση σε εταιρικά δίκτυα μέσω του Virtual Private Network (VPN) και του Remote Desktop Protocol (RDP).
Τον Ιανουάριο, ανακαλύφθηκε ότι το LockBit πρόσθεσε επίσης έναν κρυπτογράφηση Linux που στοχεύει τους διακομιστές VMware ESXi στην εργαλειοθήκη του.
Μεταξύ των τεχνικών λεπτομερειών για το πώς λειτουργεί το LockBit ransomware, το FBI αποκάλυψε επίσης ότι το κακόβουλο λογισμικό συνοδεύεται από ένα κρυφό παράθυρο εντοπισμού σφαλμάτων που μπορεί να ενεργοποιηθεί κατά τη διαδικασία μόλυνσης χρησιμοποιώντας τη συντόμευση πληκτρολογίου SHIFT + F1.
Μόλις εμφανιστεί, μπορεί να χρησιμοποιηθεί για την προβολή πληροφοριών σε πραγματικό χρόνο σχετικά με τη διαδικασία κρυπτογράφησης και την καταγραφή της κατάστασης της καταστροφής δεδομένων χρήστη.