Дълбоко потапяне в операциите на групата за рансъмуер LockBit

Изследователите предоставиха задълбочен поглед върху това как функционира LockBit, една от по-новите групи за рансъмуер на сцената.

Ransomware се превърна в една от най-разрушителните форми на кибератака тази година. През 2017 г. с глобалното избухване на WannaCry за първи път видяхме сериозните смущения, които може да причини зловредният софтуер, а през 2021 г. изглежда, че нищо не се е променило към по-добро.

Само през тази година досега сме виждали катастрофата на Colonial Pipeline ransomware, която е причинила недостиг на гориво в някои части на САЩ; текущи проблеми в националната здравна служба на Ирландия и системно прекъсване на гигантския месопреработвател JBS поради зловредния софтуер.

Операторите на Ransomware ще внедрят злонамерен софтуер, способен да шифрова и заключва системи, и те също могат да откраднат поверителни данни по време на атака. След това се изисква плащане в замяна на ключ за дешифриране.

Губейки пари от секундата, докато техните системи не реагират, играчите на жертвите могат да бъдат подложени на втори залп, предназначен да натрупа натиска – заплахата корпоративните данни да бъдат изтичани или продавани онлайн чрез така наречените сайтове за течове в тъмна мрежа.

Очаква се атаките с Ransomware да струват 265 милиарда долара по целия свят до 2031 г., а изплащанията сега обикновено достигат милиони долари – като в случая с JBS. Няма обаче гаранция, че ключовете за дешифриране са подходящи за целта си или че еднократното плащане означава, че организацията няма да бъде ударена отново.

Проучване на Cybereason, публикувано тази седмица, предполага, че до 80% от предприятията, които са станали жертва на рансъмуер и са платили, са преживели втора атака – потенциално от същите участници в заплахата.

Заплахата от рансъмуер за бизнеса и критичните комунални услуги стана достатъчно сериозна, че въпросът беше повдигнат по време на среща между американския президент Джо Байдън и руския президент Владимир Путин на срещата на върха в Женева.

Всяка група има различен начин на работа и операторите на рансъмуер непрекъснато се „пенсионират“ или се присъединяват към фазата, често чрез партньорски модел Ransomware като услуга (RaaS).

В петък екипът на Prodaft Threat Intelligence (PTI) публикува доклад (.PDF) проучване на LockBit и неговите филиали.

Според изследването LockBit, за когото се смята, че преди това е работил под името ABCD, управлява RaaS структура, която предоставя на свързани групи централен контролен панел за създаване на нови проби от LockBit, управление на техните жертви, публикуване на публикации в блогове и също извличане на статистически данни успех – или неуспех – на техните опити за атака.

Разследването разкри, че филиалите на LockBit най-често купуват достъп до протоколи за отдалечен работен плот (RDP) като първоначален вектор на атака, въпреки че те могат да използват и типични техники за фишинг и пълнене на идентификационни данни.

“Тези видове услуги за достъп по поръчка могат да бъдат закупени само за $ 5, като по този начин правят[ing] този подход е много доходоносен за филиали “, отбелязва Продафт.

Експлоитите също се използват за компрометиране на уязвими системи, включително уязвимости на Fortinet VPN, които не са били коригирани на целевите машини.

Криминалистичните разследвания на машини, атакувани от филиали на LockBit, показват, че групите на заплахите често първо се опитват да идентифицират “критично важни” системи, включително NAS устройства, сървъри за архивиране и контролери на домейни. След това започва извличането на данни и пакетите обикновено се качват в услуги, включително платформата за съхранение в облак на MEGA.

След това проба LockBit се разполага ръчно и файловете се криптират с генериран AES ключ. Архивите се изтриват и системният тапет се променя на бележка за откуп, съдържаща връзка към адрес на уебсайт .onion за закупуване на софтуер за дешифриране.

Уебсайтът предлага и „пробна версия“ за дешифриране, при която един файл – с размер по-малък от 256KB – може да бъде декриптиран безплатно.

Това обаче не е само за да покаже, че е възможно дешифрирането. Трябва да се подаде криптиран файл за филиали, за да се генерира декриптор за конкретната жертва.

Ако жертвите посегнат, нападателите могат да отворят прозорец за чат в панела LockBit, за да говорят с тях. Разговорите често започват с искането за откуп, краен срок за плащане, метод – обикновено в биткойн (BTC) – и инструкции как да закупите криптовалута.

Prodaft успя да получи достъп до панела LockBit, разкривайки имена на партньори, брой жертви, дати на регистрация и данни за контакт.

Продафт

Изследователският екип казва, че уликите в имената и адресите на партньорите предполагат, че някои също могат да бъдат подписани с Babuk и REvil, две други RaaS групи – но разследването продължава.

Средно партньорите на LockBit искат около 85 000 долара от всяка жертва, 10 – 30% от които отиват за операторите на RaaS, а рансъмуерът е заразил хиляди устройства по целия свят. Над 20% от жертвите на таблото са били в сектора на софтуера и услугите.

„Търговските и професионални услуги, както и транспортният сектор също са силно насочени от групата LockBit“, казва Продафт. “Трябва обаче да се отбележи, че стойността на откупа се определя от филиала след различни проверки с помощта на онлайн услуги. Тази стойност не зависи единствено от сектора на жертвата.”

По време на писането на сайта, течът на LockBit не беше достъпен. След като проникнаха в системите на LockBit, изследователите дешифрираха всички достъпни жертви на платформата.

По-рано този месец, Bleeping Computer съобщи, че LockBit е нов участник в картел за рансъмуер, контролиран от Maze. Продафт каза пред ZDNet, че тъй като те „откриха няколко филиали на LockBit, които работят и за други групи за изкупване, сътрудничеството е много вероятно“.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com