Forskare har gjort en djupgående titt på hur LockBit, en av de nyare ransomwaregrupperna på scenen, fungerar.
Ransomware har blivit en av de mest störande formerna. av cyberattack i år. Det var tillbaka 2017 med det globala WannaCry-utbrottet som vi först såg den allvarliga störningen som skadlig programvara kan orsaka, och 2021 verkar ingenting ha förändrats till det bättre.
Bara i år har vi hittills sett Colonial Pipeline ransomware-katastrofen som orsakade bränsleförsörjningsbrist över delar av USA; pågående problem vid Irlands nationella hälsovård och systematiska störningar för köttbearbetningsjätten JBS på grund av skadlig programvara.
Ransomware-operatörer kommer att distribuera skadlig kod som kan kryptera och låsa system, och de kan också stjäla konfidentiell data under en attack. Betalning krävs sedan mot en dekrypteringsnyckel.
Att förlora pengar i sekunden medan deras system inte svarar, kan offertföretagets aktörer sedan bli föremål för en andra salva som är utformad för att höja trycket – hotet om att företagsdata antingen läcks eller säljs online via så kallade läcksidor i mörkt nät.
Ransomware-attacker beräknas kosta 265 miljarder dollar över hela världen fram till 2031, och utbetalningarna når nu vanligtvis miljoner dollar – som i fallet med JBS. Det finns dock ingen garanti för att dekrypteringsnycklar är lämpliga för ändamålet eller att betala en gång innebär att en organisation inte kommer att träffas igen.
En Cybereason-undersökning som publicerades i veckan föreslog att upp till 80% av de företag som blev offer för ransomware och betalade upp har upplevt en andra attack – potentiellt av samma hotaktörer.
Hotet om ransomware mot företag och kritiska verktyg har blivit tillräckligt allvarligt för att frågan togs upp under ett möte mellan USA: s president Joe Biden och Rysslands president Vladimir Putin vid toppmötet i Genève.
Varje grupp har olika modus operandi och ransomware-operatörer “går i pension” eller går med i veckan, ofta genom en Ransomware-as-a-Service (RaaS) affiliate-modell.
På fredagen publicerade Prodaft Threat Intelligence (PTI) en rapport (.PDF) som utforskade LockBit och dess dotterbolag.
Enligt undersökningen driver LockBit, som antagits tidigare fungerat under namnet ABCD, en RaaS-struktur som ger medlemsgrupper en central kontrollpanel för att skapa nya LockBit-prover, hantera sina offer, publicera blogginlägg och även ta fram statistik om framgång – eller misslyckande – i deras attackförsök.
Undersökningen visade att LockBit-medlemsförbund oftast kommer att köpa RDP-åtkomst till Remote Desktop Protocol (RDP) till servrar som en initial attackvektor, även om de också kan använda typiska phishing- och referensfyllningstekniker.
“Dessa typer av skräddarsydda åtkomsttjänster kan köpas så lågt som $ 5, vilket gör detta tillvägagångssätt mycket lukrativt för medlemsförbund,” konstaterar Prodaft.
Exploits används också för att äventyra sårbara system, inklusive Fortinet VPN-sårbarheter som inte har lagts på målmaskiner.
Kriminaltekniska undersökningar av maskiner som attackerats av LockBit-medlemsförbund visar att hotgrupper ofta först försöker identifiera “uppdragskritiska” system inklusive NAS-enheter, reservservrar och domänkontrollanter. Dataexfiltrering börjar sedan och paket laddas vanligtvis upp till tjänster inklusive MEGAs molnlagringsplattform.
Ett LockBit-exempel distribueras sedan manuellt och filer krypteras med en genererad AES-nyckel. Säkerhetskopior raderas och systembakgrunden ändras till en lösenanteckning som innehåller en länk till en .onions webbplatsadress för att köpa dekrypteringsprogramvara.
Webbplatsen erbjuder också en “krypteringsversion” av dekryptering där en fil – med en storlek som är mindre än 256 KB – kan dekrypteras gratis.
Detta är dock inte bara för att visa att dekryptering är möjlig. En krypterad fil måste skickas in för dotterbolag att skapa en dekrypterare för just det offret.
Om offren når ut kan angripare öppna ett chattfönster i LockBit-panelen för att prata med dem. Konversationer börjar ofta med lösenkrav, betalningsfrist, metod – vanligtvis i Bitcoin (BTC) – och instruktioner om hur man köper kryptovaluta.
Prodaft kunde få tillgång till LockBit-panelen och avslöjade anslutna användarnamn, antalet offer, registreringsdatum och kontaktuppgifter.
Prodaft
Forskargruppen säger att ledtrådar inom filialnamnen och adresserna antyder att vissa också kan registreras med Babuk och REvil, två andra RaaS-grupper – utredningen pågår dock.
I genomsnitt begär LockBit-dotterbolag cirka 85 000 dollar från varje offer, varav 10 – 30% går till RaaS-operatörerna, och ransomware har infekterat tusentals enheter över hela världen. Över 20% av offren på instrumentbrädan var inom mjukvaru- och tjänstesektorn.
“Kommersiella och professionella tjänster såväl som transportsektorn är också mycket riktade av LockBit-gruppen”, säger Prodaft. “Det bör dock noteras att lösenets värde bestäms av dotterbolaget efter olika kontroller med onlinetjänster. Detta värde beror inte enbart på offrets sektor.”
I skrivande stund var LockBits läcksida inte tillgänglig. Efter infiltrering av LockBits system dekrypterade forskarna alla tillgängliga offer på plattformen.
Tidigare denna månad rapporterade Bleeping Computer att LockBit var en ny aktör i en ransomwarekartell som övervakades av Maze. Prodaft berättade för ZDNet att eftersom de “upptäckte att flera LockBit-dotterbolag också arbetar för andra ransomwaregrupper, är det mycket troligt att samarbete är.” toppmöte – De flesta företag möter andra ransomware-attacker efter att ha betalat först
Ransomware är det bästa cybersäkerhetshotet vi möter, varnar cyberchefen <<> Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 