Изследователите на Kaspersky са открили новия вариант, след като са реагирали на критичен инцидент, насочен към организация в Западна Африка.
Групата LockBit ransomware-as-a-service (RaaS) е поразила още една жертва, като този път е използвала откраднати пълномощия, за да извърши сложна атака срещу неидентифицирана организация в Западна Африка. Нападателите са използвали нов вариант на конструктора LockBit 3.0, който е изтекъл през 2022 г.
Изследователите на Kaspersky откриха най-новия вариант в края на март 2024 г., след като реагираха на инцидента в Западна Африка, описвайки го тогава като Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen и Trojan-Ransom.Win32.Generic. Особено притеснително за този вариант е, че може да генерира персонализиран, саморазпространяващ се ransomware, срещу който е трудно да се защити.
По време на атаката участниците в заплахата, представящи се за администратори, са заразили множество хостове със зловреден софтуер, като са имали за цел да го разпространят дълбоко в мрежата на жертвата. Според Kaspersky персонализираният рансъмуер е извършвал различни злонамерени действия, включително деактивиране на Windows Defender, криптиране на мрежови споделяния и изтриване на дневниците за събития на Windows, за да избегне откриването на действията си.
Изследователите откриха, че вариантът може също така да насочва атаките към избрани системи и да заразява конкретни .docx или .xlsx файлове. „Характерът на това откритие е доста критичен, тъй като използването на изтекли привилегировани идентификационни данни позволява на нападателите да имат пълен контрол над инфраструктурата на жертвата, както и да прикриват следите си“, казва Кристиан Соуза, специалист по реагиране на инциденти в Kaspersky.
Според Соуза организацията в Западна Африка, засегната от новия вариант на LockBit, е единствената жертва, с която Глобалният екип за реагиране при извънредни ситуации (GERT) на Kaspersky се е сблъсквал в този район до момента. „Въпреки това открихме други инциденти, при които е използван изтеклият конструктор в други региони“, казва той.
Привлекателността на LockBit 3.0 за атакуващите
След изтичането му през 2022 г. нападателите продължават активно да използват конструктора LockBit 3.0 за създаване на персонализирани версии и варианти. „Това открива многобройни възможности за злонамерените участници да направят атаките си по-ефективни, тъй като е възможно да се конфигурират опции за разпространение в мрежата и функционалност за убиване на защитата“, се казва в изследователска справка за атаката и подробно описание на варианта, публикувани от Kaspersky. „Тя става още по-опасна, ако нападателят разполага с валидни привилегировани пълномощия в целевата инфраструктура.“
Според неотдавнашен доклад на Trend Micro групата LockBit е отговорна за поне 25% от всички атаки с рансъмуер през 2023 г. и е поразила хиляди жертви от 2020 г. насам. Конструкторът LockBit 3.0 е популярен инструмент сред участниците в заплахите, тъй като не изисква напреднали умения за програмиране.
През февруари 2024 г. международната правоприлагаща група Cronos Group твърди, че е сринала инфраструктурата на групата, но по-малко от седмица по-късно LockBit отговаря, че се е възстановила и отново работи.
Защита срещу атаки на LockBit
Докато продължава дебатът дали LockBit ще остане широко разпространена сила при провеждането на атаки с цел получаване на откуп, Kaspersky съветва организациите да предприемат същите стъпки, които биха предприели, за да предотвратят атака от която и да е група. Тези стъпки включват използване на правилно конфигуриран антималуер и софтуер за откриване на крайни точки, внедряване на управлявано решение за откриване и реагиране, провеждане на оценки на уязвимостта и тестове за проникване, както и извършване и тестване на резервни копия на критични данни.
Освен това Суза препоръчва на мрежовите администратори да използват мрежова сегментация, да прилагат многофакторна автентикация (MFA), да съставят бял списък на разрешените приложения „и да имат добре дефиниран план за реакция при инциденти“.
