LockBit 3.0 Ransomware IOCs - Part 3

ransomware IOC

Появление LockBit 3.0, также известного как "LockBit Black", в июне этого года совпало со значительным увеличением числа жертв, опубликованных на сайте утечки LockBit, что указывает на то, что последние несколько месяцев ознаменовались для группы LockBit периодом активной деятельности.

LockBit 3.0 Ransomware

После очевидного распада предыдущей группы CONTI, занимавшейся распространением вымогательского ПО, операторы LockBit, похоже, стремятся заполнить образовавшуюся пустоту, представляя постоянный риск шифрования и утечки данных для организаций по всему миру.

Цепочка заражения для этой версии включает:

  • Первоначальный доступ через SocGholish.
  • Установление постоянства для запуска маяка Cobalt Strike.
  • Отключение Windows Defender и Sophos.
  • Использование инструментов сбора информации, таких как Bloodhound и Seatbelt.
  • Боковое перемещение с использованием RDP и Cobalt Strike.
  • Использование 7zip для сбора данных с целью эксфильтрации.
  • Использование Cobalt Strike для командования и контроля.
  • Эксфильтрация данных в Mega.
  • Использование PsExec для рассылки программ-выкупов.

LockBit 3.0 Ransomware IOCs

Indicators of Compromise

IPv4

  • 194.26.29.13

Domains

  • orangebronze.com

SHA1

  • d826a846cb7d8de539f47691fe2234f0fc6b4fa0
SEC-1275-1
Добавить комментарий