Detecção do Ransomware LockBit 3.0: Operação Reformulada
Índice:
LockBit grupo retorna, introduzindo uma nova cepa de seu ransomware, LockBit 3.0. Os adversários apelidaram seu último lançamento LockBit Black, melhorando-o com novas táticas de extorsão e introduzindo uma opção de pagamento em Zcash, além das opções de pagamento em criptomoedas Bitcoin e Monero existentes.
Desta vez, os hackers do LockBit estão chamando a atenção ao lançar o primeiro programa de recompensas por bugs já iniciado por uma quadrilha de crimes cibernéticos. Em seu apelo a hackers de todos os tipos, os adversários prometem uma recompensa monetária por uma submissão de bug ou ideia de melhoria que varia de $1000 a $1 milhão. O maior prêmio também é oferecido a quem for o primeiro a identificar o gerente de afiliados, conhecido como LockBitSupp.
Detectar Malware LockBit 3.0
Para ajudar as organizações a proteger melhor sua infraestrutura, nosso atento desenvolvedor de Threat Bounty Kaan Yeniyol recentemente lançou a regra Sigma dedicada que permite a rápida detecção do malware LockBit 3.0. As equipes de segurança podem baixar essas regras da plataforma Detection as Code da SOC Prime:
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake e Open Distro.
A regra é mapeada para o framework MITRE ATT&CK® v.10, abordando a tática de Execução com Comando e Interprete de Scripts (T1059) como a técnica principal.
Está ansioso para criar suas próprias regras Sigma e YARA para tornar o mundo mais seguro? Junte-se ao nosso Programa de Desenvolvimento para obter recompensas recorrentes por sua valiosa contribuição!
A lista completa de regras Sigma para detectar qualquer cepa de ransomware associada a hackers LockBit está disponível para todos os usuários registrados na plataforma Detection as Code. Pressione o botão Detect & Hunt para explorar detecções cuidadosamente curadas e verificadas. Usuários não registrados podem acessar o kit de regras dedicado ao ransomware LockBit e metadados contextuais relevantes ao pressionar o botão Explore Threat Context .
Detect & Hunt Explore Threat Context
Análise do LockBit 3.0
O grupo LockBit surgiu pela primeira vez em 2019, ressurgindo em junho de 2021 com a cepa de ransomware LockBit 2.0 . A operação é considerada uma das mais vigorosas no cenário de ameaças, ficando à frente no número de vítimas de grupos notórios como Black Basta, Hive, e Conti.
A equipe do LockBit está continuamente ampliando seu alcance, introduzindo soluções inovadoras e apropriando-se de fórmulas testadas e aprovadas no mercado de ransomware. Analistas de segurança alertam que atualmente é difícil prever quantas modificações implementadas na operação LockBit 3.0 ainda permanecem desconhecidas. De acordo com dados de pesquisa recentemente revelados, o LockBit Black apresenta semelhança de código com o ransomware BlackMatter , usado em muitos ataques de alto perfil no último verão. Pesquisadores especulam que isso pode indicar que antigos desenvolvedores do BlackMatter podem ter participado na redação da última cepa do LockBit.
Entre as novidades recém-introduzidas, como pagamento em Zcash e um programa de recompensas por bugs, o LockBit agora vende dados roubados das vítimas.
Para caçar em tempo hábil sinais de comprometimento por esta e outras ameaças emergentes, aproveite os benefícios da defesa cibernética colaborativa juntando-se à nossa comunidade global de cibersegurança na plataforma SOC Prime’s Detection as Code . Beneficie-se de detecções precisas e oportunas entregues por profissionais experientes para potencializar as operações da sua equipe SOC e postura de segurança.
