Forskere har gitt en grundig titt på hvordan LockBit, en av de nyere ransomwaregruppene på scenen, fungerer.
Ransomware har blitt en av de mest forstyrrende formene. av nettangrep i år. Det var tilbake i 2017 med det globale WannaCry-utbruddet at vi først så den alvorlige forstyrrelsen skadelig programvare kan forårsake, og i 2021 ser ingenting ut til å ha endret seg til det bedre.
Bare i år har vi så langt sett Colonial Pipeline ransomware-katastrofen som forårsaket mangel på drivstoffforsyning over deler av USA; pågående problemer i Irlands nasjonale helsetjeneste, og systematisk forstyrrelse for kjøttprosessorgiganten JBS på grunn av skadelig programvare.
Ransomware-operatører vil distribuere skadelig programvare som kan kryptere og låse systemer, og de kan også stjele konfidensielle data under et angrep. Betaling kreves da mot en dekrypteringsnøkkel.
Å miste penger i løpet av det andre mens systemene deres ikke reagerer, kan spillere av offerbedrifter bli utsatt for en ny salve som er designet for å bunke på presset – trusselen om at bedriftsdata enten lekkes eller selges online via såkalte lekkasjesider i mørkt web.
Ransomware-angrep anslås å koste 265 milliarder dollar over hele verden innen 2031, og utbetalinger når nå ofte millioner av dollar – som i tilfelle JBS. Det er imidlertid ingen garanti for at dekrypteringsnøkler er egnet til formålet, eller at betaling én gang betyr at en organisasjon ikke blir truffet igjen.
En Cybereason-undersøkelse som ble utgitt denne uken, antydet at opptil 80% av virksomhetene som ble bytte for ransomware og betalte opp, har opplevd et nytt angrep – potensielt av de samme trusselsaktørene.
Trusselen om ransomware for bedrifter og kritiske verktøy er blitt alvorlig nok til at saken ble reist under et møte mellom USAs president Joe Biden og Russlands president Vladimir Putin på Genève-toppmøtet.
Hver gruppe har en annen modus operandi og ransomware-operatører 'trekker seg kontinuerlig' eller slutter seg til flokken, ofte gjennom en tilknyttet modell for Ransomware-as-a-Service (RaaS).
Fredag publiserte Prodaft Threat Intelligence (PTI) -teamet en rapport (.PDF) som utforsket LockBit og dets tilknyttede selskaper.
I følge forskningen driver LockBit, antatt å ha operert under navnet ABCD, en RaaS-struktur som gir tilknyttede grupper et sentralt kontrollpanel for å lage nye LockBit-prøver, administrere ofrene, publisere blogginnlegg og også trekke opp statistikk om suksess – eller fiasko – av angrepsforsøkene deres.
Undersøkelsen avslørte at LockBit-tilknyttede selskaper oftest vil kjøpe Remote Desktop Protocol (RDP) tilgang til servere som en innledende angrepsvektor, selv om de også kan bruke typiske phishing- og legitimasjonsfyllingsteknikker.
“Slike skreddersydde tilgangstjenester kan kjøpes så lave som $ 5, og dermed gjør denne tilnærmingen veldig lukrativ for tilknyttede selskaper,” bemerker Prodaft.
Utnyttelser brukes også til å kompromittere sårbare systemer, inkludert Fortinet VPN-sårbarheter som ikke har blitt lappet på målmaskiner.
Kriminaltekniske undersøkelser av maskiner angrepet av LockBit-tilknyttede selskaper viser at trusselgrupper ofte først vil prøve å identifisere “oppdragskritiske” systemer, inkludert NAS-enheter, backup-servere og domenekontrollere. Dataeksfiltrering begynner deretter, og pakker lastes vanligvis opp til tjenester inkludert MEGAs skylagringsplattform.
En LockBit-prøve distribueres deretter manuelt, og filer krypteres med en generert AES-nøkkel. Sikkerhetskopier slettes, og systembakgrunnen endres til en løsepenger som inneholder en lenke til en .onion-nettadresse for å kjøpe dekrypteringsprogramvare.
Nettstedet tilbyr også en “prøveversjon” for dekryptering der en fil – med en størrelse mindre enn 256 KB – kan dekrypteres gratis.
Dette er imidlertid ikke bare for å vise at dekryptering er mulig. En kryptert fil må sendes inn for tilknyttede selskaper for å generere en dekryptering for det aktuelle offeret.
Hvis ofre strekker seg ut, kan angripere åpne et chatvindu i LockBit-panelet for å snakke med dem. Samtaler starter ofte med løsepenger, betalingsfrist, metode – vanligvis i Bitcoin (BTC) – og instruksjoner om hvordan du kjøper kryptovaluta.
Prodaft var i stand til å få tilgang til LockBit-panelet, og avslørte tilknyttede brukernavn, antall ofre, registreringsdatoer og kontaktinformasjon.
Prodaft
Forskerteamet sier at ledetråder innenfor tilknyttede navn og adresser antyder at noen også kan bli registrert med Babuk og REvil, to andre RaaS-grupper – etterforskningen pågår imidlertid.
I gjennomsnitt ber LockBit-tilknyttede selskaper om $ 85 000 dollar fra hvert offer, hvorav 10 – 30% går til RaaS-operatørene, og løsepenger har infisert tusenvis av enheter over hele verden. Over 20% av ofrene på dashbordet var i programvare- og tjenestesektoren.
“Kommersielle og profesjonelle tjenester så vel som transportsektoren også høyt målrettet av LockBit-gruppen,” sier Prodaft. “Det skal imidlertid bemerkes at løsepengerens verdi bestemmes av datterselskapet etter forskjellige kontroller ved hjelp av online-tjenester. Denne verdien avhenger ikke bare av sektoren til offeret.”
I skrivende stund var LockBits lekkasjeside utilgjengelig. Etter infiltrering av LockBits systemer dekrypterte forskerne alle tilgjengelige ofre på plattformen.
Tidligere denne måneden rapporterte Bleeping Computer at LockBit var en ny aktør i et ransomwarekartell som Maze hadde tilsyn med. Prodaft fortalte ZDNet at ettersom de “oppdaget at flere LockBit-tilknyttede selskaper også jobber for andre ransomwaregrupper, er samarbeid veldig sannsynlig.” toppmøte
De fleste firmaer møter andre ransomware-angrep etter å ha betalt først
Ransomware er den største cybersikkerhetsrisikoen vi står overfor, advarer cyber-sjef
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 