Изследователите на Kaspersky са открили новия вариант, след като са реагирали на критичен инцидент, насочен към организация в Западна Африка.
Групата LockBit ransomware-as-a-service (RaaS) е поразила още една жертва, като този път е използвала откраднати пълномощия, за да извърши сложна атака срещу неидентифицирана организация в Западна Африка. Нападателите са използвали нов вариант на конструктора LockBit 3.0, който е изтекъл през 2022 г.
Изследователите на Kaspersky откриха най-новия вариант в края на март 2024 г., след като реагираха на инцидента в Западна Африка, описвайки го тогава като Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen и Trojan-Ransom.Win32.Generic. Особено притеснително за този вариант е, че може да генерира персонализиран, саморазпространяващ се ransomware, срещу който е трудно да се защити.
По време на атаката участниците в заплахата, представящи се за администратори, са заразили множество хостове със зловреден софтуер, като са имали за цел да го разпространят дълбоко в мрежата на жертвата. Според Kaspersky персонализираният рансъмуер е извършвал различни злонамерени действия, включително деактивиране на Windows Defender, криптиране на мрежови споделяния и изтриване на дневниците за събития на Windows, за да избегне откриването на действията си.
Изследователите откриха, че вариантът може също така да насочва атаките към избрани системи и да заразява конкретни .docx или .xlsx файлове. „Характерът на това откритие е доста критичен, тъй като използването на изтекли привилегировани идентификационни данни позволява на нападателите да имат пълен контрол над инфраструктурата на жертвата, както и да прикриват следите си“, казва Кристиан Соуза, специалист по реагиране на инциденти в Kaspersky.
Според Соуза организацията в Западна Африка, засегната от новия вариант на LockBit, е единствената жертва, с която Глобалният екип за реагиране при извънредни ситуации (GERT) на Kaspersky се е сблъсквал в този район до момента. „Въпреки това открихме други инциденти, при които е използван изтеклият конструктор в други региони“, казва той.
След изтичането му през 2022 г. нападателите продължават активно да използват конструктора LockBit 3.0 за създаване на персонализирани версии и варианти. „Това открива многобройни възможности за злонамерените участници да направят атаките си по-ефективни, тъй като е възможно да се конфигурират опции за разпространение в мрежата и функционалност за убиване на защитата“, се казва в изследователска справка за атаката и подробно описание на варианта, публикувани от Kaspersky. „Тя става още по-опасна, ако нападателят разполага с валидни привилегировани пълномощия в целевата инфраструктура.“
Според неотдавнашен доклад на Trend Micro групата LockBit е отговорна за поне 25% от всички атаки с рансъмуер през 2023 г. и е поразила хиляди жертви от 2020 г. насам. Конструкторът LockBit 3.0 е популярен инструмент сред участниците в заплахите, тъй като не изисква напреднали умения за програмиране.
През февруари 2024 г. международната правоприлагаща група Cronos Group твърди, че е сринала инфраструктурата на групата, но по-малко от седмица по-късно LockBit отговаря, че се е възстановила и отново работи.
Докато продължава дебатът дали LockBit ще остане широко разпространена сила при провеждането на атаки с цел получаване на откуп, Kaspersky съветва организациите да предприемат същите стъпки, които биха предприели, за да предотвратят атака от която и да е група. Тези стъпки включват използване на правилно конфигуриран антималуер и софтуер за откриване на крайни точки, внедряване на управлявано решение за откриване и реагиране, провеждане на оценки на уязвимостта и тестове за проникване, както и извършване и тестване на резервни копия на критични данни.
Освен това Суза препоръчва на мрежовите администратори да използват мрежова сегментация, да прилагат многофакторна автентикация (MFA), да съставят бял списък на разрешените приложения „и да имат добре дефиниран план за реакция при инциденти“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.