Lockbit 2.0 vil rekruttere og belønne dine medarbejdere for at du betaler Ransomware millionbeløb

By Michael RasmussenCybersecurity, Lockbit, Ransomware

LockBit 2.0 opfordre dine medarbejdere til at sabotere din virksomhed. Til gengæld loves velstand.

LockBit 2.0 ligner sine Ransomware-As-A-Service (RaaS) brødre DarkSide og REvil. Men grupperne arbejder forskelligt og hver Ransomware har sit eget adfærdsmøster og grupperne bag ligeså. Ligesom de andre Ransomware forretningsmodeller bruger LockBit en affiliate model til at udleje sin Ransomware Platform. Der sker så en deling i porten af de betalinger som der indkommer. Hvordan det praktisk sker, ved vi kun fra få eksempler og efterretningstjenesters udmeldinger.

“Lockbit banden har imidlertid både rekrutteret hackere og annonceret heftigt i kølvandet på de mange operationer hos Darkside og REvil. Man ansøger ligefrem efter medarbejdere hos offeret og det beviser alene at det er nu man skal se at få sikret sig et tillæg til ansættelseskontrakter. Endvidere lover Lockbit udbetaling af millioner af kroner, så mon ikke det vil lokke nogen?

Det nye med at hyre insidere i virksomheden kender man fra goe gamle dage med ansættelse af konkurent spioner og vi kan ligeså godt erkende, som jeg gjorde for 10 år siden, at vi ligger i krig med kriminelle der vil stjæle, plyndre og skade din virksomhed. I virkeligheden burde FORSVARET beskytte Danmark’s grænser og virksomheder, for mens den almindelige krig er forsvundet i store dele af verden, er det nye trusselsbillede Hackere, Malware og Ransomware. Staten er i mine øjne ansvarlige for plyndringer, der er kendte fra Mafiaen, Pirater, Vikinger og bankrøveri, men Forsvaret må ikke engang anvende sine beviser mod disse grupper. Det er et totalt sygt oldgammelt samfund, som gør at Danmark vil fejle. Forsvaret, Politiet og internationale kriminalitetsbekæmpende enheder skal samarbejde bedre fremover f.eks. med fælles datadeling,”

Siger Michael Rasmussen, ICARE.DK

Accenture historien slutter ikke… for alle er nu et mål…

Tidligere angreb Lockbit Accenture som fik publiseret en masse private data for kunder og interne hemmelige dokumenter. Det var den hidtil højst profileret hackingmål, fordi Accenture samtidigt leverer datasikkerhed. Det kunne være en insider i denne IT og Sikkerhedsrådgivningsvirksomhed der både er en af verdens største og mest magtfulde virksomheder og som opererer globalt.

En Sikkerhedsekspert fra Cyble foreslog nemlig at der vist nok var tale om et insiderjob. Fordi Lockbit hyrer insidere (dine medarbejdere) aktivt er det muligt men det er ikke bevist.

Vi hæfter os ved en sikkerhedsrisiko rapport fra to uger siden, der er udgivet af Trend Micro, der siger at Lockbit bl.a. har dette i tankerne og at teknikker beskrives her som en Souped-Up krypteringsmetode der har en Souped Up krypteringsmetode.

Vi beskriver det som en krigserklæring mod alle virksomheder i Danmark. Vi er ikke tilfredse med at tjene penge på nødlidne virksomheder. Vi vil gerne have at Forsvaret.dk gør det de burde, at forsvare Danmark og Danske virksomheder.

  • Imidlertid leverer Lockbit friske angreb og invitationer på virksomheders medarbejdere og lover millioner af dollars i bytte for gyldige kontooplysninger til en dataadgang til netværk. Invitationer fra Lockbit lover milliongevinster hvis de vil medvirke til “medarbejderkriminalitet”. Eftersom de betaler i Bitcoins eller andre kryprovalutaer er vort skøn at ca. 22% af alle angreb er baseret på hjælp indenfra (udover Phishing).
  • De samme inviterede er tillige hackermål, fefter devisen, hvis man kan få data fra en medarbejder computer der ikke har nyeste sikkerhedsstrategi, så hackes han. Det er “du er enten med os eller mod os.”
  • Mange medarbejdere inviteres til at fysisk indtrængen for at placere og installere USB stiks, sniffere og software. Et USB stick med offentlig adgang er alt der behøves.

LockBit ransomware-as-a-service (RaaS) banden har intensiveret sine målrettede angreb. Flere seriøse offentlige og private forskere bl.a. i USA, Danmark, Chile, Italien, Taiwan og Storbritannien bekræfter dette.

En sikkerhedspolitik der beskytter mod Souped-Up og Windows angreb

Lockbit krypterer kun en lille del af filerne med såkaldt partiel kryptering på 4KB. Derfor kan Lockbit krypterer store mængder af data på få minutter.

Man skal vide at Lockbit anvender sig af en souped-up krypteringsmetode, hvorfor Windows domæner gennem gruppepolitikker på AD (Active Directory). Derfor tager det sekunder at identificere disksystemer, computere, porte og tilsluttede netværk. Lockbit tilrettelægger nøje at angrive når der er lukket eller i højtider. Lockbit 2.0 er derfor blandt de hurtigste varianter, når man sammenligner med de andre Ransomware bander, når det alene gælder om, hvor hurtigt man kan kryptere flere Terabytes af data.

Lockbit 2.0 kan tillige have tusindvis af tråde til kryptering og det kræver mere end et normalt antivirus abonnement at beskytte sig. Desuden beskytter de mest kendte Anti-Virus udbydere slet ikke i tilstrækkelig grad imod Ransomware, Hateware og Malware.

En særegen facilitet ved Lockbit er at kryptering alene sker delvist. Det er 4 KB pr. fil (eller hvad man indstiller den til) der reelt krypteres. Dette er direkte årsagen til hastigheden.

Darknet er den nye mafia i mange lande og de undlader ikke hævn som vi har set det tidligere, men måske ender det med mord på partnere eller afiliate partnere.

Vi ved meget mere nu generelt om Ransomware. Det gør vi nu fordi det altid har været nu er det populært at prale med og publicere sine ofres data. Det er en glogal konkurrence mellem grupperne. De communities der er kommet frem på Darknet viser tydelig et samfund af hackere der tvister indbyrdes.

Måske vil skal se mord på danske borgere før Forsvaret, som iøvrigt bruer 33-75 % af sine midler på Cyberkriminalitet, men kun på ar besktte Staten, ikke alle virksomheder mod Cyberkriminalitet. Forsvaret er eneste kompetente myndighed.

Hackere er også rekrutteringsfirma der ønsker kontakt med dine medarbejdere

Eftersom hackere meget nemt kan identificere medarbejdere f.eks. via det Microsoft egede LinkedIn så er der et markant element af Rekruttering involveret. Med løfter om anonym rigdom på en kryptovaluta bakkonto i f.eks. Marshall Islands står mange fristet. Især hvis man skylder penge. Selv i afpresnings emails, er der invitationer, både til at joine, eller til at være en affiliate marketing modtager af penge.

Det understøttes af hundredvis af rapporter om hvordan de kriminelles underverden fungerer.

LockBit 2.0 Infektionsrutine og anvendelse af Afilliate Marketing partnere

Den bedste måde for Lockbit at starte på er en IT Chefs RDP oplysninger. RDP er REMOTE DESKTOP PROTOKOL som er Microsoft’s Windows datadgang til alle servere, og eller SAN systemer. For at opnå dette modtager man som “partner” en meget praktisk Stealbit software der er en trojansk hest, som er fuldautomatisk med filtrering af brugerdatabaser f.eks. der kan direkte hentes loginnavn, IP og passwords. En hurtig analyse LockBit 2.0 der har påvirkninger fra Ryuk og Egregor, forståeligt på grund af det delte kode-DNA

Med Lockbit 2.0 er det også dokumenteret at man bruger panoply og flere værktøjer at skaffe egnede kandidater, Her er lidt om faciliteter og den adfærd

  1. En netværksscanner gør status over netværksstrukturen, samtidigt kører en sikkerhedsscanner for huller, da man ikke ønsker andre hackere. Senere deaktiveres næsten alle processer.
  2. Identificering af destinations domænecontrollere.
  3. Wake-on-LAN-funktion (oprindeligt opfundet af Ryuk Ransomware)
  4. Evnen til at sende en Magic Packet netværksbesked “0xFF 0xFF 0xFF 0xFF 0xFF 0xFF” for at vågne offline enheder.
  5. Evne til at anvende Winspool API’er og udskrivelse af breve der kræver løsepenge på ofrets netværksprintere (Orindelig udviklet af Egregors) for at tiltrække sig ofrets opmærksomhed.
  6. Der er mangeartede batchfiler til forskellige formål, herunder afslutning af sikkerhedsværktøjer, aktivering af RDP-forbindelser, selektiv eller fuldstændig rydning af Windows-hændelses logfiler og sikring af egne processer.
  7. RPC blive standset og brugere kan herefter ikke logge ind remote og mu ud til serveren
  8. Lockbit stopper også Microsoft Exchange, og kan installere et Exchange hack
  9. Lockbit deaktiverer andre relaterede tjenester.
  10. LockBit 2.0 misbruger også legitime værktøjer som Process Hacker og PC Hunter til at afslutte processer og tjenester, dette sker automatisk når først man er logge på Microsoft serverne.
  11. Lockbit laver herefter ændringer i domænecontrolleren, og denne ransomware kan on-the-fly skabe nye gruppepolitikker og sender dem til hver server på netværket.
  12. Disse politikker deaktiverer hermed Microsoft Windows Defender, eller andre producenter
  13. Herefter distribuere og eksekveres partiel kryptering på udvalgte drev og mapper
  14. Herefter kontrolleres hvert SAN, backup eller backup-af-backuppen. Her kan man slette, overskrive eller ændre adgange.
  15. Samme process distribueres til enhver Windows Server tilknyttet netværket til hver Windows-maskine.
  16. I nogle tilfælde forsøges der med scanning af medarbejder computere, mens disse er logget på, hvis angrebet sker i åbningstiden, hvilket er sjældent.
  17. Lockbit 2.0 fortsætter med at tilføje filendelsen “.lockbit” til hver krypteret fil.
  18. Derefter falder der et krav om en løsesum i hvert krypteret bibliotek.
  19. Den dobbelte afpresning er hermed en realitet. Man truer med publicering af data, so der er taget backup af, hvis man ændrer i filerne og man truer med offentliggørelse af alle eller dele af data, hvis man ikke betaler løsesummen.
  20. I nogle tilfælde sender hackerne er kopi af en inficeret fil som bevis på hacking har fundet sted, men man skulle gerne vide dette når alle ovenstående processer er ændret og standset.
  21. LockBit 2.0 ændrer ofrenes skrivebordsbaggrunde til den førnævnte rekrutteringsannonce, som også indeholder instruktioner om, hvordan ofre kan betale løsesummen. Det er håbet for hackerne at finde medarbejdere der kan medvirke enten i virksomheden eller hos andre som denne medarbejder har adgang til.
  22. Hackerne kan man herefter forhandle med i forhold til deres pengekrav.

LockBits fortsatte digitale afpfresning med dobbelt afpresningstaktik og dobbelt udnyttelse af offerets medarbejdere

Trend Micro har sporet LockBit over tid og vi bemærker, at dets operatører oprindeligt arbejdede med Maze ransomware-gruppen, der lukkede i oktober sidste år. Maze var den første pioner inden for den diciplin vi kaleder for dobbelt afpresningstaktik, der først dukkede op i november 2019.

Især i de mange angreb som Cognizant blev udsat for dette en fast vane. I starten af juni 2020 dannede det en klan, community eller kartel om man vil der kunne stå sammen om dobbelt digital afpresning indenfor cyberkriminalitet “kartel”. Da de gik sammen blev de større og de delte forskellige hackerware, forskellige ransomware-stammer særligt Egregor og man deler kode, ansatte, rekrutteringsenhed og der er professionelle offshore selskaber der stiftes m.v.

Det samme gælder udviklingen af banktransaktioner og administration af de mange Wallets til kryptovaluta. Maze er sådan som jeg ser det grundlaget for Lockbits succes. Maze er direkte opslugt af dette kartel fordi Maze ikke er lukket, men den fortsættende gruppe er en slags fortsættelse der førte til udviklingen af Lockbit. Lockbit praktiserer deling i partnerskaberne med dobbelt afpresning med hurtig partiel kryptering af filer, hurtig til at stjæle data og lukke alle services og lække de stjålne data, når løsesummen ikke blev betalt, eller at publicere data partielt i håbet om at de aligevel vil betale.

Hidtil har de store summer gjort at mange medlemmer er tilfredse, men jeg frygter den dag hvor hver iMac og PC låses. Så allerede nu bør det danske Forsvar vågne op. Siden at vi snakker om krig, ikke mellem forskellige trossamfund, men mellem kriminelle der udplyndrer danske virksomheder, HVORNÅR har den danske regering og Forsvaret i sinde at vågne op? Det er jo en reel krig mod vort land.

Sympati for kriminelle og undervurdering af medarbejdertrusler kan lukke din virksomhed

Lockbit og andet Ransomware vil fortsætte i et stærkt stigende omfang. de vil fortsætte med at købe penetrationsværktøjer og nuldags sårbarheder af andre aktører i markedet. De vil rekruttere insidere, hvilket gør dem mere i stand til at inficere mange virksomheder og industrier, Mens dette skrives udvikles Lockbit med opgraderinger og yderligere udviklinger i LockBit 3.0, især nu hvor mange sikkerhedskonsulenter er opmærksomme på dets evner og hvordan det fungerer. Endvidere vil samarbejet i kartellet øges. Der vil også komme flere og flere hadforbrydelser og medarbejderkriminalitet, desværre.

Jeg er selv medejer af Rekrutteringsfirmaet.dk og det handler om at vi fra arbejdegiver får en findeløn eller betaling for at finde en attraktiv medarbejder. Til sammenligning har Lockbit en lokkemad til dine medarbejdere om evig rigdom. Naturlivis betaler Lockbit ikke, men det er kendt at de tætte partnere og foræderiske medarbejdere tjener godt på deres forretningsmodel. Det er noget helt nyt som skal belyses mere. Darknet er dog heldigvis et farligt sted at befinde sig, for du ved ikke hvad der sker når du trykker på næste link. Men man hopper på limpinden, bliver selv hacket og nogle få ender med at tro på utallige løfter om rigdom. Siden vi aldrig har hørt om, at nogen bliver rige på at forråde sin virksomhed, er det naturligvis blot en bekræftelse på ovenstående.