Центр глобальных операций безопасности Cybereason (GSOC) проанализировал StealBit, инструмент для эксфильтрации данных, разработанный группой разработчиков вымогательского ПО LockBit.
StealBit Stealer
StealBit предоставляется филиалам в рамках программы LockBit «выкуп как услуга» и используется для эксфильтрации данных из взломанных систем для облегчения атак с двойным вымогательством. С течением времени инструмент развивался, обрастая новыми функциями, направленными на повышение эффективности и уклонение от атак. Примечательно, что если старые версии избегали выполнения на системах в некоторых странах, включая Россию, Украину, Беларусь, Таджикистан, Армению, Азербайджан, Грузию, Казахстан, Кыргызстан, Туркменистан, Узбекистан и Молдову, то новые версии сняли это ограничение, расширив свою целевую базу.
StealBit использует модель потоков порта завершения ввода-вывода для оптимизации эффективности эксфильтрации данных, позволяя параллельно обрабатывать несколько файлов и сокращая общее время, необходимое для эксфильтрации. Также поддерживается межпроцессное взаимодействие между несколькими процессами StealBit на одной системе, что позволяет масштабировать назначение файлов для эксфильтрации. Кроме того, StealBit предлагает функцию перетаскивания для операторов с графическим интерфейсом, что повышает удобство использования. Однако некоторые функции, такие как сжатие данных и скрытые режимы работы, реализованы не полностью, что может привести к обнаружению присутствия вредоносной программы на взломанных системах.
Indicators of Compromise
IPv4
- 139.60.160.200
- 168.100.11.72
- 174.138.62.35
- 185.182.193.120
- 193.38.235.234
- 88.80.147.102
- 93.190.139.223
SHA256
- 107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636
- 3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
- 6b9aa479a5f9c6bfee52046c1afa579977dfcde868fdad3f18fdcd1779535068
- 6c9a92955402c76ab380aa6927ad96515982a47c05d54f21d67603814d29e4a5
