Появление LockBit 3.0, также известного как "LockBit Black", в июне этого года совпало со значительным увеличением числа жертв, опубликованных на сайте утечки LockBit, что указывает на то, что последние несколько месяцев ознаменовались для группы LockBit периодом активной деятельности.
LockBit 3.0 Ransomware
После очевидного распада предыдущей группы CONTI, занимавшейся распространением вымогательского ПО, операторы LockBit, похоже, стремятся заполнить образовавшуюся пустоту, представляя постоянный риск шифрования и утечки данных для организаций по всему миру.
Цепочка заражения для этой версии включает:
- Первоначальный доступ через SocGholish.
- Установление постоянства для запуска маяка Cobalt Strike.
- Отключение Windows Defender и Sophos.
- Использование инструментов сбора информации, таких как Bloodhound и Seatbelt.
- Боковое перемещение с использованием RDP и Cobalt Strike.
- Использование 7zip для сбора данных с целью эксфильтрации.
- Использование Cobalt Strike для командования и контроля.
- Эксфильтрация данных в Mega.
- Использование PsExec для рассылки программ-выкупов.
LockBit 3.0 Ransomware IOCs
Indicators of Compromise
IPv4
- 194.26.29.13
Domains
- orangebronze.com
SHA1
- d826a846cb7d8de539f47691fe2234f0fc6b4fa0