Rilevamento del Ransomware LockBit 2.0: La Minaccia Infame Riemerge con Nuove Tecniche di Attacco e Metodi di Crittografia
Indice:
Gli operatori di LockBit stanno accelerando rapidamente. La banda è stata sotto il radar dei professionisti della sicurezza informatica dal 2019, rinnovandosi con il lancio di una ransomware LockBit versione 2.0 a giugno 2021. Il 7 febbraio 2022, il Federal Bureau of Investigations (FBI) ha rilasciato IOC, avvertendo degli attacchi ransomware LockBit 2.0. I dati attuali suggeriscono che la nuova campagna è caratterizzata da rapida esfiltrazione di dati ed esposizione di informazioni sensibili rubate.
Aggiornamento LockBit 2.0
Dall’estate 2021, il gruppo LockBit è attivamente alla ricerca di nuovi affiliati. Il programma di assunzione è andato a buon fine e il numero di organizzazioni impattate dalla banda LockBit è aumentato costantemente, cadendo vittima di tecniche di attacco e metodi di estorsione nuovi e più efficienti. Tra le vittime ci sono organizzazioni di tutte le dimensioni, incluse quelle dell’elenco Fortune 500, università e strutture sanitarie. L’ultimo aggiornamento ha equipaggiato gli avversari con la crittografia automatica dei dispositivi attraverso i domini Windows usando impropriamente le politiche di gruppo di Active Directory. LockBit 2.0 ha iniziato a pubblicizzare per insiders nell’agosto 2021 per ottenere l’accesso iniziale alle reti aziendali, promettendo una parte dei proventi di un assalto riuscito.
Catena di Attacco LockBit 2.0
LockBit 2.0 è gestito come un Ransomware-as-a-Service (RaaS) alimentato da affiliati, adottando un’arsenale variegato di tattiche, tecniche e procedure (TTP), offuscando l’efficacia delle migliori pratiche di difesa e mitigazione. Gli avversari prendono di mira le reti impiegando approcci dannosi come l’exploit di vulnerabilità non corrette, accesso interno ed exploit zero-day. Inoltre, gli operatori di LockBit sono noti per acquistare accesso a obiettivi vulnerabili, compromessi da hacker terzi attraverso tecniche di phishing e forzatura bruta degli account RDP.
Quando una rete viene violata, gli affiliati utilizzano applicazioni su misura e legittime, come Mimikatz, per rubare le credenziali di autenticazione della vittima. Lockbit 2.0 quindi analizza le impostazioni di sistema e lingua dell’utente e prende di mira solo quelli che non corrispondono a un elenco di lingue dell’Europa orientale. L’applicazione ransomware non diffonde l’infezione se rileva una lingua dell’Europa orientale sul dispositivo, il che indica l’origine dei suoi manutentori. LockBit 2.0 prende di mira i file di log e le copie shadow; raccoglie informazioni di sistema, mirando alla crittografia di tutti i dati su unità locali e remote, eccetto per i file richiesti per le funzioni di sistema core. Il malware auto-propagante si cancella dal disco dopo che l’operazione di crittografia è compiuta. I perpetratori lasciano sempre una nota di riscatto in ogni directory impattata dettagliando come ottenere il software di decrittazione da loro. La nota di riscatto minaccia ulteriormente di pubblicare le informazioni sensibili rubate sul loro sito di doxxing a meno che non venga pagato un riscatto.
LockBit 2.0 ha anche sviluppato un malware basato su Linux che sfrutta le vulnerabilità all’interno delle macchine virtuali VMWare ESXi.
Rilevamento del Malware LockBit 2.0
La nuova generazione di LockBit 2.0 sta rapidamente guadagnando terreno, mettendo molta pressione su industrie in tutto il mondo. Per proteggersi dalla crescente minaccia, puoi scaricare un set di regole Sigma rilasciato dai nostri abili sviluppatori di Threat Bounty Nattatorn Chuensangarun and Kaan Yeniyol:
Forza Policy GPO Ransomware LockBit 2.0 (via creation_process)
Rileva Ransomware LockBit 2.0 tramite il Registro
Ransomware LockBit 2.0 Named Pipe
L’elenco completo dei contenuti del Threat Detection Marketplace dedicati al rilevamento degli attacchi LockBit è disponibile qui.Â
Inoltre, ti consigliamo di esaminare le Linee Guida del Settore: Difendersi dagli Attacchi Ransomware fornite da Vlad Garaschenko, CISO presso SOC Prime. Queste linee guida coprono le migliori pratiche per la difesa contro i ransomware e forniscono una panoramica approfondita delle statistiche sul ransomware, delle principali tendenze e delle Tattiche, Tecniche e Procedure (TTP) applicate dalle principali bande di ransomware.
Per stare un passo avanti agli attori ransomware, puoi anche scaricare un pacchetto di regole dedicato Rilevamento Ransomware da SOC Prime che aggrega oltre 35 rilevamenti per individuare campioni nefasti come Ruyk, DoppelPaymer, Conti, LockBit, Avaddon, e altro. Tutte le regole sono mappate direttamente al framework MITRE ATT&CK® e arricchite con il corrispondente contesto di minaccia e intelligence.
Registrati gratuitamente sulla piattaforma Detection as Code di SOC Prime per ottimizzare le tue operazioni SOC con le migliori pratiche e competenze condivise. Desideroso di creare i tuoi contenuti di rilevamento e partecipare alle iniziative di threat hunting? Sfrutta il potere della comunità globale di cybersecurity e monetizza il tuo contributo.
