LockBit 2.0 Ransomware IOCs

ransomware IOC
Опубликовано

Сообщается, что программа-вымогатель LockBit2.0, работающая как партнерская программа Ransomware-as-a-Service (RaaS), усилила свои целевые атаки.

LockBit 2.0 Ransomware

LockBit 2.0 распространяется с помощью различных методов, включая, помимо прочего, покупной доступ, непропатченные уязвимости, инсайдерский доступ и эксплойты нулевого дня. LockBit 2.0 также разработал вредоносную программу на базе Linux, которая использует уязвимости виртуальных машин VMWare ESXi.

Также сообщается, что угрозы LockBit активно используют существующие уязвимости в продуктах FortinetFortiOS и FortiProxy, идентифицированные как CVE-2018-13379, для получения первоначального доступа к конкретным сетям жертв. После компрометации сети жертвы участники LockBit 2.0 используют общедоступные инструменты, такие как Mimikatz, для повышения привилегий. LockBit 2.0 также использует легитимные инструменты, такие как Process Hacker и PC Hunter, для завершения процессов и служб в системе жертвы.

Перед шифрованием аффилированные лица LockBit в основном используют приложение Stealbit, полученное непосредственно с панели LockBit, для выгрузки определенных типов файлов. LockBit 2.0 поддерживает автоматическое шифрование устройств в доменах windows путем злоупотребления групповыми политиками Active Directory. Агент оставляет записку с требованием выкупа в каждом пораженном каталоге в системах жертв, в которой содержатся инструкции по получению программного обеспечения для расшифровки.

Инструменты и компоненты, обеспечивающие бесперебойную работу LockBit:

  • delsvc.bat обеспечивает недоступность таких важных процессов, как MySQL и QuickBooks. Он также останавливает Microsoft Exchange и отключает другие связанные с ним службы.
  • AV.bat деинсталлирует антивирусную программу ESET.
  • LogDelete.bat очищает журналы событий Windows.
  • Defoff.bat отключает функции Windows Defender, такие как мониторинг в реальном времени.

Вредоносная программа поставляется со скрытым окном отладки, которое может быть активировано в процессе заражения с помощью комбинации клавиш SHIFT + F1.

Indicators of Compromise

IPv4

  • 139.60.160.200
  • 93.190.139.223
  • 45.227.255.190
  • 193.162.143.218
  • 168.100.11.72
  • 93.190.143.101
  • 88.80.147.102
  • 193.38.235.234
  • 174.138.62.35
  • 185.215.113.39
  • 185.182.193.120

URLs

  • http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion
  • http://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did.onion
  • http://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid.onion

SHA256

  • 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
  • 0906a0b27f59b6db2a2451a0e0aabf292818e32ddd5404d08bf49c601a466744
  • 21879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a58
  • 255f8465962bedaf7a373da5f721aecbc1d6027ca2e4256c6c4352f2de179ca0
  • 4db47caf8d93e855b8364def67d3d3282fc964dc4684df6bbe172ea6e902e6fe
  • 7b64ca8fe1cace0744a28f43961f17f8ea51910a54d6629502bfb9f3f3e5f831
  • 8c0e4a6fd28f94fa17a96f6e424b122f5d1216b230a33c6dff5dbf6654d0721c
  • a05ed65787b390ba33b04b4b99c3810cbaf684b37f8839e57db8316e6f01af31
  • a26250b8d2431b497400c8a754285a6259a81a31ae629ee25331f6030b34e543
  • b09a92dedbcb8d5faed6fcc2194ebaa24da601376b47e1edf705519a7860964e
  • bea7aed0dfbf7ce7491d7c8cfed35a2e626fbd345bb7425a34dae6f5894629b1
  • cb29c6fbd085407e0e8a58e7cd6512c8c5dfa06f88fdeeb9a66d025fdfc6dd32
  • f03584ecdee29e63dee1b7bf2347f605d1e1d6379a8f55e9a85c6a329bf3967b
  • 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063
  • 3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
  • 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd
  • 4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277
  • bcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621
  • dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d
  • 4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0
  • 6876eef67648a3797987745617b9fdfb31a703b7809e7f12bb52c6386e185917
  • 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474
  • 73406e0e7882addf0f810d3bc0e386fd5fd2dd441c895095f4125bb236ae7345
  • 7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21
  • aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f
  • 94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28
  • a398c70a2b3bf8ae8b5ceddf53fcf6daa2b68af2fadb76a8ea6e33b8bbe06f65
  • 98e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f4210e8df07f15
  • a7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df108
  • acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c
  • b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5
  • bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e
  • d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
  • d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
  • f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202
  • 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
  • 0906a0b27f59b6db2a2451a0e0aabf292818e32ddd5404d08bf49c601a466744
  • 21879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a58
  • 255f8465962bedaf7a373da5f721aecbc1d6027ca2e4256c6c4352f2de179ca0
  • 4db47caf8d93e855b8364def67d3d3282fc964dc4684df6bbe172ea6e902e6fe
  • 7b64ca8fe1cace0744a28f43961f17f8ea51910a54d6629502bfb9f3f3e5f831
  • 8c0e4a6fd28f94fa17a96f6e424b122f5d1216b230a33c6dff5dbf6654d0721c
  • a05ed65787b390ba33b04b4b99c3810cbaf684b37f8839e57db8316e6f01af31
  • a26250b8d2431b497400c8a754285a6259a81a31ae629ee25331f6030b34e543
  • b09a92dedbcb8d5faed6fcc2194ebaa24da601376b47e1edf705519a7860964e
  • bea7aed0dfbf7ce7491d7c8cfed35a2e626fbd345bb7425a34dae6f5894629b1
  • cb29c6fbd085407e0e8a58e7cd6512c8c5dfa06f88fdeeb9a66d025fdfc6dd32
  • f03584ecdee29e63dee1b7bf2347f605d1e1d6379a8f55e9a85c6a329bf3967b
  • 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063
  • 3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
  • 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd
  • 4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277
  • bcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621
  • dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d
  • 4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0
  • 6876eef67648a3797987745617b9fdfb31a703b7809e7f12bb52c6386e185917
  • 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474
  • 73406e0e7882addf0f810d3bc0e386fd5fd2dd441c895095f4125bb236ae7345
  • 7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21
  • aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f
  • 94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28
  • a398c70a2b3bf8ae8b5ceddf53fcf6daa2b68af2fadb76a8ea6e33b8bbe06f65
  • 98e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f4210e8df07f15
  • a7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df108
  • acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c
  • b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5
  • bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e
  • d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
  • f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202

Похожие записи:

  1. LockBit Ransomware IOCs
  2. LockBit 3.0 Ransomware IOCs
  3. LockBit 3.0 Ransomware IOCs - Part 3
  4. LockBit 3.0 Ransomware IOCs - Part 4
  5. Raspberry Robin Worm IOCs - Part 4
LockBit Ransomware
Добавить комментарий