Сообщается, что программа-вымогатель LockBit2.0, работающая как партнерская программа Ransomware-as-a-Service (RaaS), усилила свои целевые атаки.
LockBit 2.0 Ransomware
LockBit 2.0 распространяется с помощью различных методов, включая, помимо прочего, покупной доступ, непропатченные уязвимости, инсайдерский доступ и эксплойты нулевого дня. LockBit 2.0 также разработал вредоносную программу на базе Linux, которая использует уязвимости виртуальных машин VMWare ESXi.
Также сообщается, что угрозы LockBit активно используют существующие уязвимости в продуктах FortinetFortiOS и FortiProxy, идентифицированные как CVE-2018-13379, для получения первоначального доступа к конкретным сетям жертв. После компрометации сети жертвы участники LockBit 2.0 используют общедоступные инструменты, такие как Mimikatz, для повышения привилегий. LockBit 2.0 также использует легитимные инструменты, такие как Process Hacker и PC Hunter, для завершения процессов и служб в системе жертвы.
Перед шифрованием аффилированные лица LockBit в основном используют приложение Stealbit, полученное непосредственно с панели LockBit, для выгрузки определенных типов файлов. LockBit 2.0 поддерживает автоматическое шифрование устройств в доменах windows путем злоупотребления групповыми политиками Active Directory. Агент оставляет записку с требованием выкупа в каждом пораженном каталоге в системах жертв, в которой содержатся инструкции по получению программного обеспечения для расшифровки.
Инструменты и компоненты, обеспечивающие бесперебойную работу LockBit:
- delsvc.bat обеспечивает недоступность таких важных процессов, как MySQL и QuickBooks. Он также останавливает Microsoft Exchange и отключает другие связанные с ним службы.
- AV.bat деинсталлирует антивирусную программу ESET.
- LogDelete.bat очищает журналы событий Windows.
- Defoff.bat отключает функции Windows Defender, такие как мониторинг в реальном времени.
Вредоносная программа поставляется со скрытым окном отладки, которое может быть активировано в процессе заражения с помощью комбинации клавиш SHIFT + F1.
Indicators of Compromise
IPv4
- 139.60.160.200
- 93.190.139.223
- 45.227.255.190
- 193.162.143.218
- 168.100.11.72
- 93.190.143.101
- 88.80.147.102
- 193.38.235.234
- 174.138.62.35
- 185.215.113.39
- 185.182.193.120
URLs
- http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion
- http://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did.onion
- http://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid.onion
SHA256
- 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
- 0906a0b27f59b6db2a2451a0e0aabf292818e32ddd5404d08bf49c601a466744
- 21879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a58
- 255f8465962bedaf7a373da5f721aecbc1d6027ca2e4256c6c4352f2de179ca0
- 4db47caf8d93e855b8364def67d3d3282fc964dc4684df6bbe172ea6e902e6fe
- 7b64ca8fe1cace0744a28f43961f17f8ea51910a54d6629502bfb9f3f3e5f831
- 8c0e4a6fd28f94fa17a96f6e424b122f5d1216b230a33c6dff5dbf6654d0721c
- a05ed65787b390ba33b04b4b99c3810cbaf684b37f8839e57db8316e6f01af31
- a26250b8d2431b497400c8a754285a6259a81a31ae629ee25331f6030b34e543
- b09a92dedbcb8d5faed6fcc2194ebaa24da601376b47e1edf705519a7860964e
- bea7aed0dfbf7ce7491d7c8cfed35a2e626fbd345bb7425a34dae6f5894629b1
- cb29c6fbd085407e0e8a58e7cd6512c8c5dfa06f88fdeeb9a66d025fdfc6dd32
- f03584ecdee29e63dee1b7bf2347f605d1e1d6379a8f55e9a85c6a329bf3967b
- 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063
- 3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
- 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd
- 4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277
- bcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621
- dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d
- 4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0
- 6876eef67648a3797987745617b9fdfb31a703b7809e7f12bb52c6386e185917
- 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474
- 73406e0e7882addf0f810d3bc0e386fd5fd2dd441c895095f4125bb236ae7345
- 7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21
- aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f
- 94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28
- a398c70a2b3bf8ae8b5ceddf53fcf6daa2b68af2fadb76a8ea6e33b8bbe06f65
- 98e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f4210e8df07f15
- a7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df108
- acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c
- b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5
- bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e
- d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
- d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
- f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202
- 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
- 0906a0b27f59b6db2a2451a0e0aabf292818e32ddd5404d08bf49c601a466744
- 21879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a58
- 255f8465962bedaf7a373da5f721aecbc1d6027ca2e4256c6c4352f2de179ca0
- 4db47caf8d93e855b8364def67d3d3282fc964dc4684df6bbe172ea6e902e6fe
- 7b64ca8fe1cace0744a28f43961f17f8ea51910a54d6629502bfb9f3f3e5f831
- 8c0e4a6fd28f94fa17a96f6e424b122f5d1216b230a33c6dff5dbf6654d0721c
- a05ed65787b390ba33b04b4b99c3810cbaf684b37f8839e57db8316e6f01af31
- a26250b8d2431b497400c8a754285a6259a81a31ae629ee25331f6030b34e543
- b09a92dedbcb8d5faed6fcc2194ebaa24da601376b47e1edf705519a7860964e
- bea7aed0dfbf7ce7491d7c8cfed35a2e626fbd345bb7425a34dae6f5894629b1
- cb29c6fbd085407e0e8a58e7cd6512c8c5dfa06f88fdeeb9a66d025fdfc6dd32
- f03584ecdee29e63dee1b7bf2347f605d1e1d6379a8f55e9a85c6a329bf3967b
- 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063
- 3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
- 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd
- 4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277
- bcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621
- dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d
- 4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0
- 6876eef67648a3797987745617b9fdfb31a703b7809e7f12bb52c6386e185917
- 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474
- 73406e0e7882addf0f810d3bc0e386fd5fd2dd441c895095f4125bb236ae7345
- 7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21
- aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f
- 94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28
- a398c70a2b3bf8ae8b5ceddf53fcf6daa2b68af2fadb76a8ea6e33b8bbe06f65
- 98e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f4210e8df07f15
- a7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df108
- acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c
- b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5
- bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e
- d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78
- f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202