LockBit 2.0勒索軟件在全球擴散
研究人員表示,LockBit勒索軟件即服務(RaaS)團伙加大了針對性攻擊力度,試圖使用其惡意軟件的2.0版針對智利、意大利、臺灣和英國的公司。
根據趨勢科技周一發(fā)布的分析,7月和8月的攻擊使用了LockBit 2.0,其特點是增強了加密方法。
據報道:“與LockBit在2019年的攻擊和功能相比,該版本包括通過濫用Active Directory(AD)組策略跨Windows域自動加密設備,促使其背后的組織聲稱它是當今市場上最快的勒索軟件變種之一。”“LockBit 2.0以擁有當今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而出名。我們的分析表明,雖然它在加密中使用了多線程方法,但它也只對文件進行了部分加密,因為每個文件只加密了4KB的數據。”
趨勢科技指出,這些攻擊還包括從目標公司內部招募內部人員。惡意軟件感染程序的最后一步是將受害者的電腦壁紙更改為有效的廣告,其中包括有關組織內部人員如何參與“附屬招募”的部分信息,并保證支付數百萬美元和承諾匿名,以換取憑據和訪問權限。
研究人員表示,新一波攻擊正在采用這種策略,“似乎是為了消除(其他威脅行為者群體的)中間人,并通過提供有效憑據和訪問公司網絡來實現更快的攻擊”。
值得注意的是,LockBit也是最近埃森哲網絡攻擊事件背后的罪魁禍首。
LockBit 2.0感染程序
為了對目標公司網絡進行初始訪問,LockBit團伙招募了上述成員和助手,他們通常通過有效的遠程桌面協(xié)議(RDP)帳戶憑據對目標進行實際入侵。為了幫助實現這一目標,LockBit的創(chuàng)建者為他們的合作伙伴提供了一個方便的StealBit特洛伊木馬變種,這是一種用于建立訪問權限和自動泄露數據的工具。
該報告指出,一旦進入系統(tǒng),LockBit 2.0就會使用一整套工具來進行偵查。Network Scanner會評估網絡結構并識別目標域控制器。它使用多個批處理文件從而達到不同目的,其中包括終止安全工具、啟用RDP連接、清除Windows事件日志以及確保關鍵進程(例如Microsoft Exchange、MySQL和QuickBooks)不可用。它還會停止Microsoft Exchange并禁用其他相關服務。
但這還不是全部:“LockBit 2.0還濫用Process Hacker和PC Hunter等合法工具來終止受害系統(tǒng)中的進程和服務。”
在第一階段結束之后,就開始進行橫向運動了。
趨勢科技研究人員解釋說:“一旦進入域控制器,勒索軟件就會創(chuàng)建新的組策略并將它們發(fā)送到網絡上的每臺設備。”“這些策略禁用Windows Defender,并將勒索軟件二進制文件分發(fā)和執(zhí)行到每臺Windows計算機。”
這個主要的勒索軟件模塊繼續(xù)向每個加密文件添加“.lockbit”后綴。然后,它會在每個加密目錄中放一張贖金便條,威脅雙重勒索。便條一般會告訴受害者,文件被加密了,如果他們不付款,就把他們公開發(fā)布。
LockBit 2.0的最后一步是將受害者的桌面壁紙更改為上述招聘廣告,其中還包括有關受害者如何支付贖金的說明。
LockBit的持續(xù)進化
趨勢科技一直在跟蹤LockBit,并指出其運營商最初與去年10月關閉的Maze勒索軟件組織合作。
Maze是雙重勒索策略的先驅,于2019年11月首次出現。它發(fā)起了持續(xù)不斷的攻擊活動,例如對Cognizant的攻擊。2020年夏天,它成立了一個網絡犯罪“卡特爾”——與各種勒索軟件(包括Egregor)聯(lián)手,并共享代碼、想法和資源。
研究人員解釋說:“在Maze關閉后,LockBit團伙繼續(xù)使用自己的泄漏站點,這導致了LockBit的發(fā)展。”“以前的版本顯示了已有的勒索軟件的特征,它使用了加密文件、竊取數據和在未支付贖金時泄露被盜數據的雙重勒索技術。”
現在的LockBit 2.0似乎是受到了Ryuk和Egregor的影響,這可能是由于共享代碼DNA。趨勢科技指出的兩個顯著的例子是:
- 受Ryuk勒索軟件啟發(fā)的LAN喚醒功能,發(fā)送Magic Packet“0xFF 0xFF 0xFF 0xFF 0xFF 0xFF”以喚醒離線設備。
- 在受害者的網絡打印機上打印勒索信,類似于Egregor使用的引起受害者注意力的方式。它使用Winspool API在連接的打印機上枚舉和打印文檔。
趨勢科技研究人員總結道:“我們……推測這個團體將在很長一段時間內繼續(xù)保持活躍狀態(tài),特別是因為現在它正在廣泛招募成員和組織內部人員,使其更有能力感染許多公司和行業(yè)。”“同時,為LockBit 2.0的升級和進一步開發(fā)做好準備也是明智之舉,特別是現在許多公司都了解了它的功能及其工作原理。”
如何保護組織免受勒索軟件的侵害
以下是互聯(lián)網安全中心和美國國家標準與技術研究所推薦預防LockBit 2.0和其他惡意軟件感染的最佳做法:
- 審計和盤存:對組織的所有資產和數據進行審計,識別出經過授權和未經授權的設備、軟件以及僅特定人員可訪問的系統(tǒng)。審計和監(jiān)控所有重大事件和突發(fā)狀況的日志,從而識別一場模式或行為。
- 配置和監(jiān)視:注意管理硬件和軟件配置,僅在絕對必要時向特定人員授予管理權限和訪問權限。監(jiān)控監(jiān)視網絡端口、協(xié)議和服務的使用。在網絡基礎設施設備(如防火墻和路由器)上實施安全配置,并具有軟件允許列表以防止惡意應用程序被執(zhí)行。
- 修補程序和更新:定期進行漏洞評估,并對操作系統(tǒng)和應用程序進行定期修補或虛擬修補。確保所有已安裝的軟件和應用程序都已更新到其最新版本。
- 保護和恢復:實施數據保護、備份和恢復措施。在所有可用的設備和平臺中使用多因素身份驗證。
- 安全保衛(wèi):執(zhí)行沙盒分析以檢查和阻止惡意電子郵件。將最新版本的安全解決方案應用于系統(tǒng)的所有層,包括電子郵件、端點、web和網絡。發(fā)現攻擊的早期跡象,如系統(tǒng)中存在可疑工具,并啟用先進的檢測技術,如采用人工智能和機器學習的技術。
- 培訓和測試:定期對所有人員進行安全技能評估和培訓,并進行red-team演習和滲透測試。
本文翻譯自:https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/如若轉載,請注明原文地址。
