Detecção de Ransomware LockBit
Índice:
Apesar de ser um jogador relativamente novo na arena das ameaças cibernéticas, o ransomware LockiBit rapidamente ganhou a fama de uma cepa de malware prolífica e perigosa. Durante 2020-2021, o LockBit foi consistentemente incluído na lista das amostras maliciosas mais ativas e notórias. Para alcançar isso, os mantenedores do LockBit utilizam o modelo de Ransomware como Serviço (RaaS) para envolver mais afiliados e continuar com os ataques. Além disso, eles aplicam uma prática de dupla extorsão para colocar pressão adicional sobre as vítimas e aumentar as chances de obter o pagamento do resgate.
O que é o Ransomware LockBit?
Inicialmente, o ransomware LockBit surgiu em 2019 como vírus “ABCD”. Este apelido ocorreu devido à extensão de arquivo adicionada a todos os arquivos criptografados. Desde então, o malware evoluiu significativamente seu arsenal malicioso e alterou a extensão para .lockbit. Atualmente, o LockBit é ativamente anunciado em fóruns subterrâneos, adquirindo novos membros para seu programa RaaS. Em 2020, pesquisadores estimaram US$ 75.000 ganhos por vendedores do LockBit via um programa de afiliados.
De acordo com a análise da Coveware, o LockBit concentra seus esforços em empresas de médio a grande porte, bem como entidades governamentais. No entanto, os mantenedores do ransomware têm seu próprio “código moral” e evitam atacar organizações relacionadas à saúde, sindicatos e educação. Além disso, o LockBit interrompe sua atividade caso o endereço IP da máquina alvo esteja localizado na Comunidade dos Estados Independentes. A razão para isso pode ser a origem do desenvolvedor, que afirma viver na região da Sibéria, na Rússia, de acordo com a entrevista com a equipe da Cisco Talos. Além disso, as estatísticas mostram taxas muito altas de recuperação de dados pagos acompanhadas do curto tempo de recuperação. Isso significa que os operadores de malware tendem a cumprir seus compromissos, o que é declarado como uma parte importante do modelo de negócios do LockBit.
No entanto, não há honra entre ladrões, e o LockBit tem como alvo empresas importantes cada vez mais para lucros. O foco principal são empresas de TI que operam nos EUA e na Europa. Os operadores de ransomware aplicam com sucesso a prática de dupla extorsão, roubando dados sensíveis antes da criptografia. Para encorajar as vítimas a pagarem o resgate, os mantenedores do LockBit regularmente postam despejos de dados juntamente com informações sobre os últimos ataques em um site dedicado. Mídias proeminentes também estão envolvidas para fazer barulho sobre a empresa vitimizada e chamar a atenção de seus parceiros de negócios para o incidente.
A Coveware afirma que, em maio de 2021, o pagamento médio de resgate para vítimas do LockBit é de US$ 57.600. No entanto, geralmente correlaciona-se com o alcance e escala da empresa alvo e pode ser muito maior.
Métodos de Ataque do LockBit
O LockBit utiliza uma variedade de métodos sofisticados para prosseguir com o processo de infecção. Notavelmente, é uma cepa de malware de auto-propagação que necessita apenas de algumas horas dentro da rede para se propagar, criptografando todos os ativos acessíveis. Normalmente, os atacantes passam dias ou semanas investigando a empresa alvo. O LockBit, por sua vez, confia em automação e tira vantagem da intrusão em velocidade relâmpago. Além disso, o malware realiza reconhecimento durante a fase de criptografia para causar danos máximos.
Para obter acesso inicial ao ambiente, o LockBit geralmente confia em e-mails de phishing. Além disso, vulnerabilidades conhecidas e servidores RDP são comumente usados para infecção. Após isso, o ransomware entra na fase de reconhecimento, usando ferramentas como Mimikatz, PowerShell e Cobal Strike para pesquisa e movimentação lateral. SMB, tabelas ARP e PowerShell são usados para propagação. Finalmente, o LockBit executa na memória, normalmente com um comando Windows Management Instrumentation (WMI), e inicia a criptografia. Imediatamente após, uma nota de resgate é deixada em várias pastas no host.
Detecção de LockBit
Para prevenir possíveis infecções e proteger a infraestrutura da empresa contra esta ameaça notória, você pode baixar um conjunto de regras Sigma e YARA lançadas por nossos desenvolvedores de Bounty Threat no Threat Detection Marketplace.
Detecção do Ransomware LockBit
Detecção de Payload de Ransomware (LockBit)
A lista completa do conteúdo do Threat Detection Marketplace dedicado à detecção de ataque do LockBit está disponível aqui.
Assine o Threat Detection Marketplace, uma plataforma de Conteúdo como Serviço (CaaS) líder do setor que alimenta o workflow completo de CI/CD para detecção de ameaças, fornecendo conteúdo SOC qualificado, cross-vendor e cross-tool. Ansioso para criar seu próprio conteúdo de detecção e participar de iniciativas de caçadores de ameaças? Entre para o nosso Programa de Bounty por Ameaças e seja recompensado por sua contribuição!
