Rilevamento del Ransomware LockBit 3.0: Operazione Rinnovata
Indice:
LockBit gruppo ritorna, introducendo un nuovo ceppo del loro ransomware, LockBit 3.0. Gli avversari hanno soprannominato la loro ultima versione LockBit Black, potenziandola con nuove tattiche di estorsione e introducendo un’opzione per pagare in Zcash, aggiungendo alle opzioni di pagamento in criptovalute esistenti Bitcoin e Monero.
Questa volta, gli hacker LockBit fanno notizia avviando il primo programma di bug bounty mai lanciato da una banda di cybercriminali. Nel loro appello agli hacker di ogni tipo, gli avversari promettono una ricompensa monetaria per una segnalazione di bug o idea di miglioramento che varia da 1000 a 1 milione di dollari. Il prezzo più alto è offerto anche a chi sarà il primo a identificare il responsabile degli affiliati, noto come LockBitSupp.
Rileva Malware LockBit 3.0
Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, il nostro acuto sviluppatore di Threat Bounty Kaan Yeniyol ha recentemente rilasciato la regola Sigma dedicata che consente una rapida rilevazione del malware LockBit 3.0. I team di sicurezza possono scaricare queste regole dalla piattaforma Detection as Code di SOC Prime:
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake e Open Distro.
La regola è mappata al framework MITRE ATT&CK® v.10, affrontando la tattica di Execution con Command and Scripting Interpreter (T1059) come tecnica principale.
Sei desideroso di creare le tue regole Sigma e YARA per rendere il mondo più sicuro? Unisciti al nostro Programma di Sviluppo per ottenere ricompense ricorrenti per il tuo prezioso contributo!
L’elenco completo delle regole Sigma per rilevare qualsiasi ceppo di ransomware associato agli hacker di LockBit è disponibile per tutti gli utenti registrati della piattaforma Detection as Code. Premi il pulsante Detect & Hunt per esplorare rilevazioni accuratamente curate e verificate. Gli utenti non registrati possono accedere al kit di regole dedicato al ransomware LockBit e ai relativi metadati contestuali premendo il pulsante Explore Threat Context .
Detect & Hunt Explore Threat Context
Analisi LockBit 3.0
Il gruppo LockBit è apparso per la prima volta nel 2019, riapparendo nel giugno del 2021 con il ceppo di ransomware LockBit 2.0 . L’operazione è considerata una delle più vigorose nel panorama delle minacce, superando nel numero di vittime gruppi notori come Black Basta Hive Black Basta, Hive, e Conti.
. Il team LockBit sta continuamente ampliando la sua portata, introducendo soluzioni innovative e appropriandosi di formule del mercato del ransomware collaudate. Gli analisti della sicurezza avvertono che attualmente è difficile prevedere quante modifiche implementate nell’operazione LockBit 3.0 rimangano ancora sconosciute. Secondo dati di ricerca recentemente rivelati, LockBit Black ha una somiglianza nel codice con il ransomware BlackMatter , utilizzato in molti attacchi di alto profilo la scorsa estate. I ricercatori speculano che ciò potrebbe indicare che ex sviluppatori di BlackMatter potrebbero aver partecipato alla scrittura dell’ultimo ceppo LockBit.
Tra le novità recentemente introdotte come il pagamento in Zcash e un programma di bug bounty, LockBit ora vende i dati rubati alle vittime.
Per cacciare tempestivamente i segni di compromissione da questa e altre minacce emergenti, sfrutta i benefici della difesa informatica collaborativa unendoti alla nostra comunità globale di cybersecurity sulla piattaforma Detection as Code di SOC Prime. Approfitta di rilevazioni accurate e tempestive fornite da professionisti esperti per potenziare le operazioni e la posizione di sicurezza del tuo team SOC.
