Търсене
Close this search box.

Вариант на LockBit 3.0 генерира персонализиран, саморазпространяващ се зловреден софтуер

Изследователите на Kaspersky са открили новия вариант, след като са реагирали на критичен инцидент, насочен към организация в Западна Африка.

Групата LockBit ransomware-as-a-service (RaaS) е поразила още една жертва, като този път е използвала откраднати пълномощия, за да извърши сложна атака срещу неидентифицирана организация в Западна Африка. Нападателите са използвали нов вариант на конструктора LockBit 3.0, който е изтекъл през 2022 г.

Изследователите на Kaspersky откриха най-новия вариант в края на март 2024 г., след като реагираха на инцидента в Западна Африка, описвайки го тогава като Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen и Trojan-Ransom.Win32.Generic. Особено притеснително за този вариант е, че може да генерира персонализиран, саморазпространяващ се ransomware, срещу който е трудно да се защити.

По време на атаката участниците в заплахата, представящи се за администратори, са заразили множество хостове със зловреден софтуер, като са имали за цел да го разпространят дълбоко в мрежата на жертвата. Според Kaspersky персонализираният рансъмуер е извършвал различни злонамерени действия, включително деактивиране на Windows Defender, криптиране на мрежови споделяния и изтриване на дневниците за събития на Windows, за да избегне откриването на действията си.

Изследователите откриха, че вариантът може също така да насочва атаките към избрани системи и да заразява конкретни .docx или .xlsx файлове. „Характерът на това откритие е доста критичен, тъй като използването на изтекли привилегировани идентификационни данни позволява на нападателите да имат пълен контрол над инфраструктурата на жертвата, както и да прикриват следите си“, казва Кристиан Соуза, специалист по реагиране на инциденти в Kaspersky.

Според Соуза организацията в Западна Африка, засегната от новия вариант на LockBit, е единствената жертва, с която Глобалният екип за реагиране при извънредни ситуации (GERT) на Kaspersky се е сблъсквал в този район до момента. „Въпреки това открихме други инциденти, при които е използван изтеклият конструктор в други региони“, казва той.

Привлекателността на LockBit 3.0 за атакуващите

След изтичането му през 2022 г. нападателите продължават активно да използват конструктора LockBit 3.0 за създаване на персонализирани версии и варианти. „Това открива многобройни възможности за злонамерените участници да направят атаките си по-ефективни, тъй като е възможно да се конфигурират опции за разпространение в мрежата и функционалност за убиване на защитата“, се казва в изследователска справка за атаката и подробно описание на варианта, публикувани от Kaspersky. „Тя става още по-опасна, ако нападателят разполага с валидни привилегировани пълномощия в целевата инфраструктура.“

Според неотдавнашен доклад на Trend Micro групата LockBit е отговорна за поне 25% от всички атаки с рансъмуер през 2023 г. и е поразила хиляди жертви от 2020 г. насам. Конструкторът LockBit 3.0 е популярен инструмент сред участниците в заплахите, тъй като не изисква напреднали умения за програмиране.

През февруари 2024 г. международната правоприлагаща група Cronos Group твърди, че е сринала инфраструктурата на групата, но по-малко от седмица по-късно LockBit отговаря, че се е възстановила и отново работи.

Защита срещу атаки на LockBit

Докато продължава дебатът дали LockBit ще остане широко разпространена сила при провеждането на атаки с цел получаване на откуп, Kaspersky съветва организациите да предприемат същите стъпки, които биха предприели, за да предотвратят атака от която и да е група. Тези стъпки включват използване на правилно конфигуриран антималуер и софтуер за откриване на крайни точки, внедряване на управлявано решение за откриване и реагиране, провеждане на оценки на уязвимостта и тестове за проникване, както и извършване и тестване на резервни копия на критични данни.

Освен това Суза препоръчва на мрежовите администратори да използват мрежова сегментация, да прилагат многофакторна автентикация (MFA), да съставят бял списък на разрешените приложения „и да имат добре дефиниран план за реакция при инциденти“.

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
14/06/2024

Рансъмуерът Fog се насочва ...

Нова група хакери криптира данни във...
13/06/2024

Украинската киберполиция ар...

Украинската киберполиция е арестувала 28-годишен руснак...
13/06/2024

Група за рансъмуер вече се ...

Обявена наскоро  уязвимост в PHP, за...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!