security and crime

Hvordan LockBit blev den mest populære ransomware

Kriminel brug af LockBit ransomware-as-a-service (Raas) operationer vokser hurtigt takket være opdateringer til malware og nedgangen i andre ransomware-bander.

LockBit er en af de mest fremtrædende Raas, der har målrettet organisationer i løbet af de sidste mange år. Siden lanceringen i 2019, har LockBit konstant udviklet sig og har hidtil uset vækst drevet af andre ransomware-banders opløsning.

LockBit-skaberne sælger adgang til ransomware-programmet og dets infrastruktur til tredjeparts cyberkriminelle kendt som tilknyttede virksomheder, der bryder ind i netværk og implementerer det på systemer til en nedskæring på op til 75% af de penge, der betales af ofre i løsepenge. Som de fleste lignende RaaS-bander engagerer LockBit sig i dobbelt afpresningstaktik, hvor dets tilknyttede virksomheder også eksfiltrerer data ud af offerorganisationer og truer med at offentliggøre dem online.

Ifølge en rapport fra ransomware incident response firmaet, Coveware, tegnede LockBit sig for 15% af ransomware angreb virksomheden så i første kvartal af 2022, kun overgået af Conti med 16%. I en nyere rapport rapporterede cybersikkerhedsfirmaet NCC Group, at LockBit var ansvarlig for 40% af de ransomware-angreb virksomheden så i maj, efterfulgt af Conti.

Mens antallet af ransomware-hændelser generelt er faldet i de seneste måneder, vil den procentdel, som LockBit tegner sig for, sandsynligvis stige, dels fordi Conti-operationen menes at have lukket ned eller splintret i mindre grupper, og fordi LockBit forsøger at tiltrække flere tilknyttede virksomheder, der hævder at tilbyde bedre betingelser end konkurrenter.

Sådan har LockBit udviklet sig

Trusselen var oprindeligt kendt som ABCD efter filtypen .abcd, at den forlod på krypterede filer. Raas tilknyttede program blev lanceret i begyndelsen af 2020, og datalækagestedet og tilføjelsen af afpresning af datalækage blev annonceret senere samme år.

LockBit forblev en relativt lille spiller i løbet af sit første driftsår, hvor andre højt profilerede bander var mere succesrige og i rampelyset – Ryuk, REvil, Maze og andre. LockBit ransomware begyndte at få mere trækkraft i anden halvdel af 2021 med lanceringen af LockBit 2.0 og efter at nogle af de andre bander lukkede deres operationer efter at have tiltrukket for meget varme.

LockBit 2.0 var “den mest effektive og bredt anvendte ransomware-variant, vi har observeret i alle ransomware-overtrædelser i løbet af første kvartal af 2022, i betragtning af både lækagestedsdata og data fra sager, der håndteres af enhed 42-hændelsessvar,” sagde analytikere fra Palo Alto Networks’ Enhed 42 i en rapport. LockBit 2.0-webstedet, som banden bruger til at offentliggøre data fra organisationer, hvis netværk de overtrådte, viser 850 ofre, men banden hævder, at den hidtil har løskøbt over 12.125 organisationer.

Gruppen hævder også, at LockBit 2.0 ransomware har den hurtigste krypteringsrutine, hvilket kun er delvist sandt ifølge tests fra forskere fra Splunk. LockBit 1.0 og et ransomware-program kendt som PwndLocker synes at være hurtigere end LockBit 2.0, men krypteringsrutinen er stadig meget hurtig, dels fordi disse trusler udfører delvis kryptering. LockBit 2.0 krypterer for eksempel kun de første 4 KB af hver fil, hvilket er nok til at gøre dem ulæselige og ubrugelige, samtidig med at angrebet kan gennemføres meget hurtigt, før hændelsessvarerne har tid til at lukke systemer og isolere dem fra netværket.

Hvordan vælger og målretter LockBit sine ofre?

Da mange tilknyttede virksomheder distribuerer LockBit, er de adgangsvektorer, de bruger, varierede: fra spyd-phishing-e-mails med ondsindede vedhæftede filer til udnyttelse af sårbarheder i offentligt stående applikationer og brug af stjålne VPN- og RDP-legitimationsoplysninger. LockBit-datterselskaberne er kendt for også at købe adgang fra andre parter.

Ifølge et offentligt interview i 2021 med et påstået LockBit-bandemedlem har gruppen en politik mod at målrette mod organisationer, der opererer inden for sundheds-, uddannelses-, velgørenheds- og socialsektoren. Men, LockBit-tilknyttede virksomheder har ikke fulgt disse retningslinjer i nogle tilfælde og angrebet organisationer fra sundhedspleje og uddannelse, Palo Alto-forskerne advarede.

Baseret på data fra LockBits datalækageside var næsten halvdelen af offerorganisationerne fra USA, efterfulgt af Italien, Tyskland, Canada, Frankrig og Storbritannien. Fokus på nordamerikanske og europæiske organisationer skyldes højere forekomst af cyberforsikring i disse regioner samt højere indtægter, sagde LockBit-bandemedlemmet i det gamle interview. De mest påvirkede branchevertikaler har været professionelle og juridiske tjenester, byggeri, føderal regering, fast ejendom, detailhandel, højteknologi og fremstilling. Den malware indeholder også kode, der forhindrer dens udførelse på systemer med østeuropæiske sprogindstillinger.

Det er også værd at bemærke, at LockBit-banden har udviklet et separat malware-program kaldet StealBit, der kan bruges til at automatisere eksfiltrering af data. Dette værktøj uploader dataene direkte til LockBits servere i stedet for at bruge offentlige filhostingtjenester, der kan slette dataene efter klager fra ofre. Banden har også udviklet et værktøj kaldet LockBit Linux-ESXi Locker til at kryptere Linux-servere og VMware ESXi virtuelle maskiner.

Den tid, som LockBit-angribere bruger inde i et netværk, før de implementerer ransomware, er faldet over tid fra omkring 70 dage i 4. kvartal 2021 til 35 dage i 1. kvartal 2022 og mindre end 20 dage i 2. kvartal 2022. Det betyder, at organisationer har mindre tid til at opdage netværksindtrængen i deres tidlige stadier og stoppe ransomware fra at blive implementeret. Angribernes vilje til at forhandle og sænke løsepengebeløbet er også faldet ifølge Palo Alto Networks. Sidste år var angriberne villige til at sænke løsepengebeløbet med over 80 procent, mens ofrene nu kun kan forvente et prisfald på 30 procent i gennemsnit.

Hvordan udfører LockBit lateral bevægelse og udførelse af nyttelast?

Efter at have fået indledende adgang til netværk, LockBit-tilknyttede virksomheder implementerer forskellige værktøjer til at udvide deres adgang til andre systemer. Disse værktøjer involverer legitimationsdumpere som Mimikatz; værktøjer til eskalering af privilegier som ProxyShell, værktøjer, der bruges til at deaktivere sikkerhedsprodukter og forskellige processer såsom GMER, PC Hunter og Process Hacker; netværks- og portscannere til at identificere active directory-domænecontrollere, fjernudførelsesværktøjer som PsExec eller Cobalt Strike til lateral bevægelse. Aktiviteten involverer også brugen af tilslørede PowerShell- og batchscripts og useriøse planlagte opgaver til vedholdenhed.

Når implementeret, kan LockBit ransomware også sprede sig til andre systemer via SMB-forbindelser ved hjælp af indsamlede legitimationsoplysninger samt ved hjælp af Active Directory gruppepolitikker. Når henrettet, ransomware deaktiverer Windows-volumenskyggekopier og sletter forskellige system- og sikkerhedslogfiler.

Malwaren indsamler derefter systemoplysninger såsom værtsnavn, domæneoplysninger, lokal drevkonfiguration, fjernaktier og monterede lagerenheder, så begynder den at kryptere alle data på de lokale og eksterne enheder, den kan få adgang til. Det springer dog over filer, der forhindrer systemet i at fungere. I slutningen falder det en løsesum notat ved at ændre brugerens desktop tapet med oplysninger om, hvordan man kontakter angriberne.

Filkrypteringsrutinen bruger AES og med en lokalt genereret nøgle, der krypteres yderligere ved hjælp af en RSA-offentlig nøgle. Den malware krypterer kun den første 4KB af hver fil og tilføjer “.lockbit” udvidelse til dem.

FBI udsendte en offentlig advarsel om LockBit i februar, der indeholder indikatorer for kompromis taget fra hændelser undersøgt i marken, samt anbefalinger til organisationer.

LockBit 3.0 og dets bug bounty-program

I juni, LockBit-skaberne annoncerede version 3.0 af deres tilknyttede program og malware efter angiveligt at have det i beta-test i to måneder. Banden lancerede også et bug bounty-program, der tilbyder mellem $ 1,000 og $ 1 million for sårbarheder i både ransomware-programmet og bandens infrastruktur, såsom dets Tor-hostede websted, sikker Messenger og mere.

Banden gik endda så langt som til at lancere en udfordring på $ 1 million til enhver, der formår at finde ud af identiteten på den person, der kører sit tilknyttede program, og i det væsentlige beder om, at dets højest rangerende medlem skal doxxed. Dette er ikke første gang, LockBit har engageret sig i usædvanlig praksis. Dens løsesum noter omfatter finansielle tilbud til insidere, der kan give adgang til netværk og organisationer, og dets bug bounty program tilbyder også belønninger for ideer til, hvordan man kan forbedre ransomware drift, software og infrastruktur, som banden endnu ikke har overvejet.

Mens de tekniske ændringer i Selve LockBit 3,0, skærmbillederne, der deles af LockBit, antyder, at Zcash-kryptokurrency accepteres til løsepengebetalinger sammen med Bitcoin og Monero i den nye version. Tilføjelsen af Zcash kan være et forsøg på at gøre betalinger sværere at spore.

Ifølge Palo Alto kunne tilføjelsen af bug bounty-programmet have været drevet af analytikere, der fandt en fejl i LockBit 2.0, der tillod tilbageførsel af krypteringsprocessen på MSSQL-databaser.

I begyndelsen af juni udgav cybersikkerhedsfirmaet Mandiant en rapport, der forbinder nogle LockBit-indtrængen med en trusselsaktør, der spores som UNC2165, der tidligere brugte Hades ransomware og har betydelige aktivitetsoverlapninger med Evil Corp, en berygtet cyberkriminel gruppe, der er på finansministeriets liste over sanktionerede enheder. Evil Corp er ansvarlig for oprettelsen af Dridex botnet, den WastedLocker ransomware og andre trusler i fortiden og sende løsesum betalinger til cyberkriminelle forbundet med det er i strid med sanktionerne.

“Vedtagelsen af en eksisterende ransomware er en naturlig udvikling for UNC2165 at forsøge at skjule deres tilknytning til Evil Corp,” siger Mandiant-analytikerne. “Både LockBit’s fremtrædende plads i de senere år og dens vellykkede brug af flere forskellige trusselsklynger har sandsynligvis gjort ransomware til et attraktivt valg. Brug af denne Raas ville gøre det muligt for UNC2165 at blande sig med andre tilknyttede virksomheder, hvilket kræver synlighed i tidligere stadier af angrebets livscyklus for korrekt at tildele aktiviteten sammenlignet med tidligere operationer, der kan have været henførbare baseret på brugen af en eksklusiv ransomware.

LockBit-banden afviste senere disse forbindelser som falske og udsendte en erklæring, der sagde, at det ikke har noget at gøre med Evil Corp og dets påståede leder Maxim Yakubets, der er på FBI’s Cyber’s Most Wanted-liste.

Kilde: CSOonline

Foto: Pexels

Scroll til toppen