Программа-вымогатель LockBit 3.0 (она же LockBit Black) - это эволюция распространенного семейства LockBit ransomware-as-a-service (RaaS), корни которого восходят к BlackMatter и связанным с ней организациям. После обнаружения критических ошибок в LockBit 2.0 в марте 2022 года авторы начали работу над обновлением процедур шифрования и добавлением нескольких новых функций, призванных помешать исследователям.
LockBit 3.0 Ransomware
В июне 2022 года LockBit 3 заинтересовал СМИ, поскольку операторы вымогательского ПО объявили, что предлагают исследователям "вознаграждение за ошибку". Авторы LockBit 3.0 ввели новые функции управления для филиалов и добавили Zcash для платежей жертвам в дополнение к Monero и Bitcoin.
Первоначальная доставка полезной нагрузки вымогательского ПО LockBit обычно осуществляется с помощью сторонних фреймворков, таких как Cobalt Strike. Как и в случае с LockBit 2.0, заражение происходит по цепочке от других компонентов вредоносного ПО, например, инфекция SocGholish сбрасывает Cobalt Strike, который, в свою очередь, доставляет выкупное ПО LockBit 3.
Полезная нагрузка LockBit ransomware рассчитана на выполнение с привилегиями администратора. В случае, если вредоносная программа не обладает необходимыми привилегиями, будет предпринята попытка обойти UAC. LockBit 3.0 достигает стойкости за счет установки системных служб. Каждое выполнение полезной нагрузки приводит к установке нескольких служб.
Фаза шифрования происходит чрезвычайно быстро, даже при распространении на соседние узлы. Полезная нагрузка ransomware смогла полностью зашифровать тестовый узел менее чем за минуту.
После выполнения, LockBit 3.0 ransomware выкидывает заново отформатированные заметки с выкупом, а также изменяет фон рабочего стола. Интересно, что блокнот и wordpad включены в список предписанных процессов, как отмечалось выше. Поэтому, если жертва попытается открыть записку с выкупом сразу после ее появления, она будет немедленно закрыта, поскольку процесс заблокирован до тех пор, пока программа не завершит свое выполнение.
Если не вмешаются правоохранительные органы, в SentinelLabs ожидают, что LockBit будет существовать в обозримом будущем и в дальнейшем итерации того, что, несомненно, является очень успешной RaaS-операцией. Как и в случае с любым другим вымогательским ПО, профилактика лучше, чем лечение, и защитникам рекомендуется убедиться, что у них установлена комплексная защита от вымогательского ПО.
Indicators of Compromise
Domains
- lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion
- lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
- lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onion
- lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
- lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onion
- lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion
- lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion
- lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion
- lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion
- lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onion
- lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd.onion
- lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd.onion
- lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd.onion
- lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad.onion
- lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd.onion
- lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd.onion
- lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd.onion
- lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd.onion
- lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd.onion
SHA1
- 371353e9564c58ae4722a03205ac84ab34383d8c
- c2a321b6078acfab582a195c3eaf3fe05e095ce0
- ced1c9fabfe7e187dd809e77c9ca28ea2e165fa8
SHA256
- a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e
- d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee
- f9b9d45339db9164a3861bf61758b7f41e6bcfb5bc93404e296e2918e52ccc10