Forskere har undersøgt, hvordan LockBit, en af de nyere ransomwaregrupper på scenen, fungerer.
Ransomware er blevet en af de mest forstyrrende former. af cyberangreb i år. Det var tilbage i 2017 med det globale WannaCry-udbrud, at vi først så den alvorlige forstyrrelse, som malware kunne forårsage, og i 2021 synes intet at have ændret sig til det bedre.
Alene i år har vi hidtil set den Colonial Pipeline ransomware-katastrofe, der forårsagede mangel på brændstofforsyning på tværs af dele af USA; igangværende problemer i Irlands nationale sundhedstjeneste og systematisk forstyrrelse for kødprocessor-giganten JBS på grund af malware.
Ransomware-operatører vil installere malware, der er i stand til at kryptere og låse systemer, og de kan også stjæle fortrolige data under et angreb. Betaling kræves derefter til gengæld for en dekrypteringsnøgle.
Hvis man mister penge i det andet, mens deres systemer ikke reagerer, kan spillere af ofre for virksomheden derefter blive udsat for en anden salve designet til at bunke under presset – truslen om, at virksomhedsdata enten lækkes eller sælges online gennem såkaldte lækagesider mørkt web.
Ransomware-angreb forventes at koste 265 mia. $ verden over i 2031, og udbetalinger når nu ofte millioner af dollars – som det er tilfældet med JBS. Der er dog ingen garanti for, at dekrypteringsnøgler er egnede til formålet, eller at betaling én gang betyder, at en organisation ikke bliver ramt igen.
En Cybereason-undersøgelse, der blev offentliggjort i denne uge, foreslog, at op til 80% af virksomheder, der blev bytte for ransomware og betalte op, har oplevet et andet angreb – potentielt af de samme trusselsaktører.
Truslen om ransomware mod virksomheder og kritiske forsyningsselskaber er blevet alvorligt nok til, at spørgsmålet blev rejst under et møde mellem den amerikanske præsident Joe Biden og den russiske præsident Vladimir Putin på topmødet i Genève.
Hver gruppe har en anden modus operandi, og ransomware-operatører er ved at 'gå på pension' eller slutte sig til folden, ofte gennem en tilknyttet model af Ransomware-as-a-Service (RaaS).
Fredag offentliggjorde Prodaft Threat Intelligence-teamet (PTI) en rapport (.PDF), der udforskede LockBit og dets tilknyttede selskaber.
Ifølge undersøgelsen driver LockBit, der tidligere menes at have opereret under navnet ABCD, en RaaS-struktur, der giver tilknyttede grupper et centralt kontrolpanel til at oprette nye LockBit-prøver, administrere deres ofre, offentliggøre blogindlæg og også hente statistikker vedrørende succes – eller fiasko – af deres angrebsforsøg.
Undersøgelsen afslørede, at LockBit-datterselskaber oftest vil købe RDP-adgang (Remote Desktop Protocol) til servere som en indledende angrepsvektor, skønt de også muligvis bruger typiske phishing- og legitimationsfyldningsteknikker.
“Disse former for skræddersyede adgangstjenester kan købes så lave som $ 5, hvilket gør [denne] tilgang meget lukrativ for tilknyttede virksomheder,” bemærker Prodaft.
Eksploater bruges også til at kompromittere sårbare systemer, herunder Fortinet VPN-sårbarheder, der ikke er blevet patched på målmaskiner.
Retsmedicinske undersøgelser af maskiner angrebet af LockBit-tilknyttede virksomheder viser, at trusselgrupper ofte først vil forsøge at identificere “missionskritiske” systemer, herunder NAS-enheder, backup-servere og domænekontrollere. Dataefiltrering begynder derefter, og pakker uploades normalt til tjenester inklusive MEGAs cloud storage-platform.
En LockBit-prøve distribueres derefter manuelt, og filer krypteres med en genereret AES-nøgle. Sikkerhedskopier slettes, og systembaggrunden ændres til en løsesumnote, der indeholder et link til en .onion-webstedsadresse for at købe dekrypteringssoftware.
Webstedet tilbyder også en dekrypterings 'prøveversion', hvor en fil – med en størrelse mindre end 256 KB – kan dekrypteres gratis.
Dette er dog ikke kun for at vise, at dekryptering er mulig. En krypteret fil skal indsendes til tilknyttede selskaber for at generere en decryptor til det pågældende offer.
Hvis ofre rækker ud, kan angribere åbne et chatvindue i LockBit-panelet for at tale med dem. Samtaler starter ofte med løsesumskrav, betalingsfrist, metode – normalt i Bitcoin (BTC) – og instruktioner om, hvordan man køber kryptovaluta.
Prodaft var i stand til at få adgang til LockBit-panelet og afslørede tilknyttede brugernavne, antallet af ofre, registreringsdatoer og kontaktoplysninger.
Prodaft
Forskergruppen siger, at spor inden for de tilknyttede navne og adresser antyder, at nogle også kan blive tilmeldt med Babuk og REvil, to andre RaaS-grupper – undersøgelsen er imidlertid i gang.
I gennemsnit anmoder LockBit-datterselskaber om ca. $ 85.000 fra hvert offer, hvoraf 10-30% går til RaaS-operatørerne, og ransomware har inficeret tusindvis af enheder verden over. Over 20% af ofrene på instrumentbrættet var i software- og servicesektoren.
“Kommercielle og professionelle tjenester såvel som transportsektoren er også meget målrettet af LockBit-gruppen,” siger Prodaft. “Det skal dog bemærkes, at løsepengeens værdi bestemmes af datterselskabet efter forskellige kontroller ved hjælp af onlinetjenester. Denne værdi afhænger ikke kun af offerets sektor.”
På tidspunktet for skrivningen var LockBits lækageside ikke tilgængelig. Efter infiltrering af LockBits systemer dekrypterede forskerne alle de tilgængelige ofre på platformen.
Tidligere på måneden rapporterede Bleeping Computer, at LockBit var en ny aktør i et ransomwarekartel, der varetages af Maze. Prodaft fortalte ZDNet, at da de “opdagede, at flere LockBit-datterselskaber også arbejder for andre ransomwaregrupper, er samarbejde meget sandsynligt.”
Tidligere og relateret dækning
Biden og Putin sparer over cybersikkerhed, ransomware i Genève topmøde
De fleste firmaer står over for andet ransomware-angreb efter at have afbetalt først
Ransomware er den største cybersikkerhedstrussel, vi står over for, advarer cyberchef
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 