LockBit, вариант ransomware, шифрует данные на зараженных машинах, требуя выкуп за расшифровку. Используется в целевых атаках и представляет значительный риск для организаций.le.
Также известен как
- ABCD
Что такое вымогательское ПО LockBit?
LockBit - это штамм вымогательского ПО, а также название хакерской группы, стоящей за ним. В основном она нацелена на компьютеры под управлением Windows, но может также шифровать файлы на машинах под управлением Linux и, с недавних пор, MacOS. Это одна из самых больших угроз выкупа, составляющая около трети всех атак Ransomware-as-a-Service (RaaS).
Подобно таким угрозам, как Revil и Sodinokibi, LockBit работает по модели Ransomware-as-a-Service. Основная группа продает доступ к программе выкупа на подпольных форумах, где они рекламируют ее как "самое быстрое в мире программное обеспечение для шифрования". Эта бизнес-модель, во многом похожая на франшизу, позволила LockBit расширить свою деятельность. По некоторым оценкам, эта угроза стоит за 40% всех атак на выкупное ПО.
Потенциальными объектами атаки LockBit являются как крупные, так и небольшие организации. Например, в феврале 2023 года LockBit был замешан в инциденте с Royal Mail, где противники потребовали выкуп в размере 80 миллионов долларов. Однако среднее требование этой группы значительно ниже - около $85 000. Это означает, что, хотя LockBit может быть вовлечен в громкие атаки на крупные предприятия, он в основном нацелен на малый и средний бизнес.
LockBit, как и многие другие угрозы, предположительно исходящие с территории бывшего СССР, избегает атак на жертв вблизи мест своего вероятного базирования. Он проверяет языковые настройки зараженной машины и прерывает атаку, если в настройках стоит русский, румынский, татарский или, что интригующе, арабский язык.
LockBit рекламирует себя как "этическую банду вымогателей". Ее кодекс поведения запрещает как основной группе, так и ее филиалам атаковать медицинские организации, благотворительные организации или социальные службы. Требования выкупа гибко корректируются в зависимости от жертвы, при этом группа обычно просит "справедливую", по их мнению, сумму с учетом нанесенного ущерба и платежеспособности жертвы.
Однако если жертва не выполняет их требования, LockBit без колебаний публикует украденные конфиденциальные данные на своем портале, который они размещают в сети Tor.
Интересно, что LockBit поддерживает свой собственный веб-сайт, который выглядит довольно профессионально. Это свидетельствует о высокой организации работы по борьбе с вымогательством. Они даже реализуют программу "bug bounty" - единственная команда по борьбе с вымогательством, которая делает это.
Однако надежность обещаний команды LockBit, что неудивительно, оставляет желать лучшего. Одним из ярких примеров этого стал случай, когда команда бросила вызов на популярном форуме по кибербезопасности Xss [.], предлагая заплатить 1000 долларов тому, кто отважится навсегда вытатуировать логотип вымогательской программы.
Некоторые люди по неосторожности приняли участие в этом предложении и впоследствии были обмануты. Команда LockBit публично раскрыла все свои биткоин-кошельки вскоре после завершения этого дерзкого маркетингового трюка.
История версий программы LockBit ransomware
С момента своего первого обнаружения в 2019 году LockBit претерпел несколько итераций, направленных на расширение его вредоносных возможностей.
Первое значительное обновление, известное как LockBit 2.0 или LockBit Red, было выпущено в середине 2021 года. Следующее значительное обновление произошло в июне 2023 года. В этой версии, известной как LockBit 3.0 или LockBit Black, появилась возможность принимать дополнительные параметры для определенных операций при боковом перемещении, а также возможность перезагрузки в безопасный режим.
Кроме того, если у партнера нет доступа к беспарольной вымогательской программе LockBit 3.0, то предоставление параметра пароля становится необходимым во время выполнения вымогательской программы.
На момент написания этой статьи исследователи подозревают, что LockBit находится на пороге самого значительного изменения в выборе целей с момента его первоначального обнаружения. Исследователи обнаружили, по их мнению, тестовые версии шифровальщиков для macOS, ARM, FreeBSD, MIPS и SPARC CPU. Эти шифровальщики содержат ссылки на VMware ESXi и список расширений файлов и папок Windows, все это неуместно на устройстве macOS. Кроме того, код аварийно завершается из-за ошибки переполнения буфера, что говорит о том, что работа над ним еще не завершена.
Позже представитель LockBit подтвердил, что шифровальщик для macOS действительно находится в активной разработке. Учитывая эти данные, можно предположить, что в скором времени будет выпущена новая основная версия LockBit, способная работать с гораздо более широким спектром устройств.
Технические подробности о программе LockBit ransomware
После того как LockBit закрепился в системе, он обычно запускает свои операции через командную строку. Он принимает пути к файлам или параметры каталога для выборочного шифрования целей. В определенных сценариях эта программа-вымогатель может также проводить свои атаки через запланированные задачи или с помощью инструмента пост-эксплуатации, PowerShell Empire.
LockBit также использует такие инструменты, как Mimikatz, для сбора дополнительных учетных данных, что расширяет его потенциальное воздействие. Чтобы избежать обнаружения, он использует GMER, PC Hunter или Process Hacker для отключения продуктов безопасности. Кроме того, было замечено отключение Windows Defender путем изменения параметров групповой политики.
Кроме того, LockBit использует для обнаружения такие инструменты, как Network Scanner, Advanced Port Scanner и AdFind. С их помощью он перечисляет подключенные машины, стремясь найти контроллеры домена или серверы Active Directory - ценные цели для развертывания вымогательского ПО.
Программа-вымогатель облегчает латеральное перемещение в сети путем самораспространения через SMB-соединения с использованием приобретенных учетных данных. Для этого иногда используются такие инструменты, как PsExec или Cobalt Strike.
Данные часто удаляются с помощью инструментов облачного хранения, таких как MEGA или FreeFileSync, или с помощью вредоносной программы StealBit. После эксфильтрации полезная нагрузка ransomware запускает процедуру шифрования, затрагивающую как локальные, так и сетевые данные. LockBit использует AES для шифрования файлов, а ключ AES впоследствии шифруется с помощью RSA. Классическим признаком атаки LockBit является замена обоев рабочего стола на записку о выкупе и заявление о вербовке инсайдера или партнера.
Распространение вымогательского ПО LockBit
LockBit ransomware использует целый ряд тактик и инструментов для проникновения в системы, как правило, с помощью аффилированных лиц, которые покупают доступ к объектам у других киберпреступников. Такой доступ часто получают с помощью фишинговых атак, эксплуатации уязвимых приложений или перебора учетных записей протокола удаленного рабочего стола (RDP).
Первоначальный доступ обычно осуществляется через взломанные серверы или RDP-аккаунты, а незащищенные учетные данные RDP или VPN обычно приобретаются у партнеров или получаются путем перебора. В некоторых случаях LockBit использует уязвимости, такие как CVE-2018-13379 от Fortinet VPN.
Вымогательское ПО LockBit: выводы
Учитывая его распространенность, LockBit относится к числу высокоприоритетных угроз вымогательства для специалистов по кибербезопасности. Она без разбора атакует как малые предприятия, так и крупные корпорации, если злоумышленники считают потенциальную жертву честной.
Наибольшее беспокойство вызывает недавняя разработка LockBit шифровальщика для MacOS. Эта эволюция может позиционировать LockBit как первую крупную операцию по борьбе с вымогательством, направленную на устройства Apple. Этот переход может быть особенно прибыльным, поскольку некоторые пользователи Apple ошибочно полагают, что MacOS изначально защищена от вредоносных программ, и могут не проявлять такой же бдительности, как пользователи Windows или Linux.