Detecção de Ransomware LockBit 2.0: Infame Ameaça Resurge com Novas Técnicas de Ataque e Métodos de Criptografia
Índice:
Os operadores do LockBit estão acelerando rapidamente. A gangue tem estado no radar dos profissionais de cibersegurança desde 2019, se reinventando com o lançamento de um ransomware LockBit versão 2.0 em junho de 2021. Em 07 de fevereiro de 2022, o Federal Bureau of Investigations (FBI) liberou IOCs, alertando sobre ataques de ransomware LockBit 2.0. Os dados atuais sugerem que a nova campanha é caracterizada por rápida exfiltração de dados e exposição de informações sensíveis roubadas.
Upgrade do LockBit 2.0
Desde o verão de 2021, o grupo LockBit tem procurado ativamente novos afiliados. O programa de contratação foi bem-sucedido, e o número de organizações impactadas pela gangue LockBit aumentou constantemente, se tornando vítimas de técnicas de ataque e métodos de extorsão novos e mais eficazes. Entre as vítimas estão organizações de todos os tamanhos, incluindo aquelas da lista Fortune 500, universidades e instalações de saúde. A atualização mais recente equipou os adversários com a criptografia automática de dispositivos em domínios Windows, abusando das políticas de grupo do Active Directory. O LockBit 2.0 começou a anunciar recrutamento de insiders em agosto de 2021 para obter acesso inicial às redes das empresas, prometendo uma parte dos lucros de um ataque bem-sucedido.
Cadeia de Morte do LockBit 2.0
O LockBit 2.0 é operado como um Ransomware-como-Serviço (RaaS) alimentado por afiliados, adotando um arsenal diversificado de táticas, técnicas e procedimentos (TTPs), ofuscando a eficácia das melhores práticas de defesa e mitigação. Os adversários visam redes empregando abordagens maliciosas como exploração de vulnerabilidades não corrigidas, acesso de insiders e explorações de zero-day. Além disso, os operadores do LockBit são conhecidos por comprar acesso a alvos vulneráveis, comprometidos por hackers terceirizados através de técnicas de phishing e força bruta de contas RDP.
Quando uma rede é violada, os afiliados utilizam aplicativos personalizados e legítimos, como o Mimikatz, para roubar as credenciais de autenticação da vítima. Lockbit 2.0 então analisa o sistema e as configurações de idioma do usuário e apenas ataca aqueles que não correspondem a uma lista de idiomas do Leste Europeu. O aplicativo de ransomware não espalha a infecção se detectar um idioma do Leste Europeu no dispositivo, o que aponta para a origem de seus mantenedores. LockBit 2.0 visa arquivos de log e cópias de sombra; coleta informações do sistema, visando a criptografia de todos os dados em discos locais e remotos, exceto para arquivos necessários para funções centrais do sistema. O malware auto-propagante se exclui do disco após a operação de criptografia ser concluída. Os perpetradores sempre deixam uma nota de resgate em cada diretório impactado detalhando como obter o software de descriptografia deles. A nota de resgate ainda ameaça publicar informações sensíveis roubadas em seu site de doxxing, a menos que um resgate seja pago.
O LockBit 2.0 também desenvolveu um malware baseado em Linux que tira proveito de vulnerabilidades dentro de máquinas virtuais VMWare ESXi.
Detecção de Malware LockBit 2.0
A nova geração do LockBit 2.0 está ganhando terreno rapidamente, exercendo muita pressão sobre as indústrias em todo o mundo. Para se proteger da ameaça crescente, você pode baixar um conjunto de regras Sigma lançado por nossos desenvolvedores habilidosos do Threat Bounty Nattatorn Chuensangarun and Kaan Yeniyol:
Política de Força do GPO do Ransomware LockBit 2.0 (via process_creation)
Detectar Ransomware LockBit 2.0 via Registro
Ransomware LockBit 2.0 Named Pipe
A lista completa de conteúdos do Threat Detection Marketplace dedicada à detecção de ataques LockBit está disponível aqui.
Além disso, recomendamos que você inspecione as Diretrizes da Indústria: Defendendo-se Contra Ataques de Ransomware fornecidas por Vlad Garaschenko, CISO na SOC Prime. Essas diretrizes cobrem as melhores práticas para defesa contra ransomware e fazem uma visão aprofundada das estatísticas de ransomware, principais tendências e as Táticas, Técnicas e Procedimentos (TTPs) aplicados pelas principais gangues de ransomware.
Para se manter um passo à frente dos atores de ransomware, você pode adicionalmente baixar um pacote dedicado de Regras de Detecção de Ransomware da SOC Prime que agrega mais de 35 detecções para identificar exemplos nefastos como Ruyk, DoppelPaymer, Conti, LockBit, Avaddon, e mais. Todas as regras são mapeadas diretamente para a estrutura MITRE ATT&CK® e enriquecidas com o contexto de ameaça correspondente e inteligência.
Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para otimizar suas operações SOC com as melhores práticas e expertise compartilhada. Deseja criar seu próprio conteúdo de detecção e participar de iniciativas de caça às ameaças? Aproveite o poder da comunidade global de cibersegurança e monetize sua contribuição.
