LockBit 2.0 Ransomware-Erkennung: Berüchtigte Bedrohung taucht mit neuen Angriffstechniken und Verschlüsselungsmethoden wieder auf
Inhaltsverzeichnis:
LockBit-Betreiber beschleunigen sich rapide. Die Bande ist seit 2019 auf dem Radar von Cybersicherheitsexperten und hat mit dem Start eines LockBit-Ransomware in Version 2.0 im Juni 2021. Am 7. Februar 2022 hat das Federal Bureau of Investigations (FBI) IOCs veröffentlicht, um vor Angriffen der LockBit 2.0 Ransomware zu warnen. Die aktuellen Daten legen nahe, dass die neue Kampagne durch schnelle Datenexfiltration und die Veröffentlichung gestohlener sensibler Informationen gekennzeichnet ist.
LockBit 2.0 Upgrade
Seit Sommer 2021 ist die LockBit-Gruppe aktiv auf der Suche nach neuen Partnern. Das Anwerbeprogramm verlief erfolgreich und die Zahl der von der LockBit-Bande betroffenen Organisationen stieg stetig, da sie Opfer neuartiger und effizienterer Angriffstechniken und Erpressungsmethoden wurden. Unter den Opfern befinden sich Organisationen aller Größen, einschließlich der Fortune 500, Universitäten und Gesundheitsinstitutionen. Das neueste Update rüstete Gegner mit der automatischen Verschlüsselung von Geräten über Windows-Domänen aus, indem Active Directory-Gruppenrichtlinien missbraucht wurden. LockBit 2.0 begann im August 2021 mit der Werbung für Insider, um anfänglichen Netzwerkzugang zu Unternehmen zu erlangen und versprach einen Anteil an den Erlösen eines erfolgreichen Angriffs.
LockBit 2.0 Kill Chain
LockBit 2.0 wird als Affiliate-gesteuertes Ransomware-as-a-Service (RaaS) betrieben und verwendet ein vielfältiges Arsenal an Taktiken, Techniken und Verfahren (TTPs), wodurch es die Wirksamkeit von Abwehr- und Abschwächungsbest Practices verschleiert. Gegner zielen auf Netzwerke, indem sie böswillige Ansätze wie die Ausnutzung ungepatchter Schwachstellen, Insiderzugriff und Zero-Day-Exploits einsetzen. Außerdem sind LockBit-Betreiber dafür bekannt, Zugang zu verwundbaren Zielen zu kaufen, die durch Drittanbieter-Hacker über Phishing-Techniken und Brut-Force-RDP-Konten kompromittiert wurden.
Wenn ein Netzwerk verletzt wird, verwenden Partner maßgeschneiderte und legitime Anwendungen wie Mimikatz, um die Authentifizierungsinformationen des Opfers zu stehlen. LockBit 2.0 analysiert dann die Systeme und Benutzerspracheinstellungen und zielt nur auf diejenigen, die nicht mit einer Liste osteuropäischer Sprachen übereinstimmen. Die Ransomware-Anwendung verbreitet die Infektion nicht, wenn sie eine osteuropäische Sprache auf dem Gerät erkennt, was auf den Ursprung ihrer Verwalter hinweist. LockBit 2.0 zielt auf Protokolldateien und Schattenkopien ab; sammelt Systeminformationen und zielt darauf ab, alle Daten auf lokalen und entfernten Laufwerken zu verschlüsseln, außer Dateien, die für Kernsystemfunktionen erforderlich sind. Die sich selbst verbreitende Schadsoftware löscht sich nach Abschluss der Verschlüsselungsvorgang von der Festplatte. Die Täter hinterlassen immer eine Lösegeldforderung in jedem betroffenen Verzeichnis, um zu erläutern, wie die Entschlüsselungssoftware von ihnen zu erhalten ist. Die Lösegeldforderung droht weiter mit der Veröffentlichung gestohlener sensibler Informationen auf ihrer Doxxing-Seite, es sei denn, ein Lösegeld wird bezahlt.
LockBit 2.0 entwickelte auch eine auf Linux basierende Malware, die Schwachstellen in VMware ESXi-Virtual Machines ausnutzt.
LockBit 2.0 Schadsoftwareerkennung
Die neue Generation von LockBit 2.0 gewinnt schnell an Fahrt und setzt Branchen weltweit stark unter Druck. Um sich vor der aufkommenden Bedrohung zu schützen, können Sie eine Reihe von Sigma-Regeln herunterladen, die von unseren erfahrenen Threat Bounty-Entwicklern veröffentlicht wurden Nattatorn Chuensangarun and Kaan Yeniyol:
LockBit 2.0 Ransomware erzwingen GPO-Richtlinie (via process_creation)
LockBit 2.0 Ransomware über Registry erkennen
LockBit 2.0 Ransomware Benannte Pipe
Die vollständige Liste der Inhalte des Threat Detection Marketplace, die sich der Erkennung von LockBit-Angriffen widmen, ist hier verfügbar.
Wir empfehlen Ihnen auch, die Branchenguidelines: Verteidigung gegen Ransomware-Angriffe bereitgestellt von Vlad Garaschenko, CISO bei SOC Prime, zu inspizieren. Diese Richtlinien decken Best Practices für die Ransomware-Abwehr ab und bieten einen umfassenden Überblick über Ransomware-Statistiken, Haupttrends und die von großen Ransomware-Banden angewandten Taktiken, Techniken und Verfahren (TTPs).
Um Ransomware-Akteuren einen Schritt voraus zu sein, können Sie zusätzlich ein spezialisiertes Ransomware-Erkennungspaket von Regeln von SOC Prime herunterladen, das über 35 Erkennungen aggregiert, um solch bösartige Beispiele wie Ruyk, DoppelPaymer, Conti, LockBit, Avaddon und mehr zu identifizieren. Alle Regeln sind direkt auf das MITRE ATT&CK®-Framework abgebildet und mit dem entsprechenden Bedrohungskontext und -informationen angereichert.
Melden Sie sich kostenlos auf der Detection as Code-Plattform von SOC Prime an, um Ihre SOC-Operationen mit Best Practices und gemeinsamem Fachwissen zu optimieren. Möchten Sie eigenes Erkennungsinhalte erstellen und an Bedrohungsjagden teilnehmen? Nutzen Sie die Leistung der globalen Cybersicherheitsgemeinschaft und monetarisieren Sie Ihren Beitrag.
