Агентство CISA описало, как работает программа-вымогатель LockBit и почему татары никогда не станут жертвами хакеров.
Правительственные агентства США выпустили совместный бюллетень по кибербезопасности , в котором подробно описаны индикаторы компрометации (IoC), а также тактики, техники и процедуры (TTPs) программы-вымогателя LockBit 3.0.
Предупреждение поступило от ФБР, Агентства по кибербезопасности и защите инфраструктуры (CISA) и Центра обмена и анализа информации (MS-ISAC).
С момента появления в конце 2019 года хакеры LockBit выпустили две версии своей программы-вымогателя — LockBit 2.0 (LockBit Red) (2021 год) и LockBit 3.0 (LockBit Black) (2022 год). Программа-вымогатель настроена таким образом, что не заражает компьютеры со следующими языковыми настройками: румынский (Молдова), арабский (Сирия) и татарский (Россия).
Первоначальный доступ к сетям жертв достигается с помощью RDP-протокола, компрометации, фишинговых кампаний, злоупотребления действительными учетными записями и использования общедоступных приложений в качестве инструмента взлома.
Проникнув в систему, вредоносная программа предпринимает шаги для установления постоянства, повышения привилегий, выполнения бокового перемещения, а также очистки файлов журнала, корзины и теневых копий перед запуском процедуры шифрования.
Кроме того, аффилированные лица LockBit использовали различные бесплатные программы и инструменты с открытым исходным кодом. Эти инструменты используются для множества действий – сетевая разведка, удаленный доступ и туннелирование, сброс учетных данных и эксфильтрация файлов.
Одной из определяющих характеристик атак является использование специального инструмента для эксфильтрации под названием StealBit , который группа LockBit предоставляет аффилированным лицам для целей двойного вымогательства.
Стоит отметить, что по данным Минюста США на ноябрь 2022 года, вымогатель LockBit заразил как минимум 1000 жертв по всему миру, что принесло более $100 млн. прибыли.
Также ИБ-компания Dragos ранее сообщала , что LockBit 3.0 стоит за 21% вымогательских атак на критическую инфраструктуру в четвертом квартале 2022 года (40 из 189). Большинство этих атак затронули секторы производства продуктов питания, напитков и промышленности.
Несмотря на многочисленные атаки LockBit, в конце сентября 2022 года банде вымогателей был нанесен огромный удар, когда недовольный разработчик LockBit выпустил код сборки для LockBit 3.0. Это вызвало опасения, что другие киберпреступники могут воспользоваться кодом и создать свои собственные варианты вредоносного ПО.
Одно найти легче, чем другое. Спойлер: это не темная материя