Търсене
Close this search box.

Изследователите на Kaspersky са открили новия вариант, след като са реагирали на критичен инцидент, насочен към организация в Западна Африка.

Групата LockBit ransomware-as-a-service (RaaS) е поразила още една жертва, като този път е използвала откраднати пълномощия, за да извърши сложна атака срещу неидентифицирана организация в Западна Африка. Нападателите са използвали нов вариант на конструктора LockBit 3.0, който е изтекъл през 2022 г.

Изследователите на Kaspersky откриха най-новия вариант в края на март 2024 г., след като реагираха на инцидента в Западна Африка, описвайки го тогава като Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen и Trojan-Ransom.Win32.Generic. Особено притеснително за този вариант е, че може да генерира персонализиран, саморазпространяващ се ransomware, срещу който е трудно да се защити.

По време на атаката участниците в заплахата, представящи се за администратори, са заразили множество хостове със зловреден софтуер, като са имали за цел да го разпространят дълбоко в мрежата на жертвата. Според Kaspersky персонализираният рансъмуер е извършвал различни злонамерени действия, включително деактивиране на Windows Defender, криптиране на мрежови споделяния и изтриване на дневниците за събития на Windows, за да избегне откриването на действията си.

Изследователите откриха, че вариантът може също така да насочва атаките към избрани системи и да заразява конкретни .docx или .xlsx файлове. „Характерът на това откритие е доста критичен, тъй като използването на изтекли привилегировани идентификационни данни позволява на нападателите да имат пълен контрол над инфраструктурата на жертвата, както и да прикриват следите си“, казва Кристиан Соуза, специалист по реагиране на инциденти в Kaspersky.

Според Соуза организацията в Западна Африка, засегната от новия вариант на LockBit, е единствената жертва, с която Глобалният екип за реагиране при извънредни ситуации (GERT) на Kaspersky се е сблъсквал в този район до момента. „Въпреки това открихме други инциденти, при които е използван изтеклият конструктор в други региони“, казва той.

Привлекателността на LockBit 3.0 за атакуващите

След изтичането му през 2022 г. нападателите продължават активно да използват конструктора LockBit 3.0 за създаване на персонализирани версии и варианти. „Това открива многобройни възможности за злонамерените участници да направят атаките си по-ефективни, тъй като е възможно да се конфигурират опции за разпространение в мрежата и функционалност за убиване на защитата“, се казва в изследователска справка за атаката и подробно описание на варианта, публикувани от Kaspersky. „Тя става още по-опасна, ако нападателят разполага с валидни привилегировани пълномощия в целевата инфраструктура.“

Според неотдавнашен доклад на Trend Micro групата LockBit е отговорна за поне 25% от всички атаки с рансъмуер през 2023 г. и е поразила хиляди жертви от 2020 г. насам. Конструкторът LockBit 3.0 е популярен инструмент сред участниците в заплахите, тъй като не изисква напреднали умения за програмиране.

През февруари 2024 г. международната правоприлагаща група Cronos Group твърди, че е сринала инфраструктурата на групата, но по-малко от седмица по-късно LockBit отговаря, че се е възстановила и отново работи.

Защита срещу атаки на LockBit

Докато продължава дебатът дали LockBit ще остане широко разпространена сила при провеждането на атаки с цел получаване на откуп, Kaspersky съветва организациите да предприемат същите стъпки, които биха предприели, за да предотвратят атака от която и да е група. Тези стъпки включват използване на правилно конфигуриран антималуер и софтуер за откриване на крайни точки, внедряване на управлявано решение за откриване и реагиране, провеждане на оценки на уязвимостта и тестове за проникване, както и извършване и тестване на резервни копия на критични данни.

Освен това Суза препоръчва на мрежовите администратори да използват мрежова сегментация, да прилагат многофакторна автентикация (MFA), да съставят бял списък на разрешените приложения „и да имат добре дефиниран план за реакция при инциденти“.

Източник: DARKReading

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
02/10/2024

Нови арести за LockBit

Правоприлагащите органи от 12 държави арестуваха...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!