SOC Prime Bias: Високий

09 Dec 2025 18:26
newspaper icon picussecurity.com

LockBit Переродження: Еволюція групи після падіння

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
LockBit Переродження: Еволюція групи після падіння
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

LockBit – це операція програмного забезпечення-здирника як послуга (RaaS), що діє з 2019 року та використовує тактику подвійного вимагання. Після масштабної операції правоохоронних органів у лютому 2024 року група з’явилася з новими варіантами, включаючи LockBit-NG-Dev і LockBit 5.0. Ці останні варіанти вносять підтримку крос-платформ, посилений захист від аналізу та деструктивнішу поведінку після шифрування. Операція продовжує атакувати організації з високою цінністю в різних секторах по всьому світу.

Розслідування

Звіт простежує розвиток LockBit від версії 3.0 (LockBit Black) через експериментальний збір LockBit-NG-Dev до поточної ітерації 5.0. Він детально описує технічні аспекти, такі як користувацькі криптографічні процедури, відображення DLL, використання .NET CoreRT, упаковка MPRESS і значну залежність від захешованих імен служб для зупинки процесів та сервісів. Документовані поведінкові зміни включають «невидимі» режими виконання, маніпуляції ETW і автоматичне очищення журналів. Аналіз також охоплює порушення інфраструктури, здійснені в рамках операції Cronos.

Пом’якшення

Захисники повинні зберігати офлайн, незмінні резервні копії та регулярно перевіряти свої процедури відновлення. Розгорніть виявлення на кінцевих точках, яке шукає характерні поведінки програм-вимагачів, включаючи підозрілу активність PowerShell, використання команд адміністрування VSS і аномальне створення мьютексу. Обмежуйте використання привілейованих облікових записів, стримуйте техніки дублювання токенів і блокуйте відомі домени LockBit C2, контролюючи аномальні шаблони трафіку TLS.

Відповідь

Коли виявлена активність LockBit, негайно ізолюйте скомпрометовану систему, захопіть мінливу пам’ять і зберіть всі відповідні дані журналу. Ідентифікуйте і блокуйте хост C2, завершайте процес програми-здирника і збережіть значення муютексу для подальшої судової роботи. Розпочніть відновлення з надійних резервних копій і підвищте до внутрішніх або зовнішніх команд реагування на інциденти. Поділіться індикаторами компрометації з відповідними спільнотами обміну інформацією про загрози та розвідкою.

Хід атаки

Ми все ще оновлюємо цю частину. Підпишіться, щоб отримувати сповіщення

Повідомити мені

Виконання симуляції

Попередня умова: попередня перевірка телеметрії та базових даних має бути успішною.

Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди та опис МАЮТЬ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.

  • Оповідь атаки та команди:
    Нападник вже розмістив двійковий файл програми-здирника на хості жертви. Для затирання слідів програма-здирник викликає fsutil.exe щоб перезаписати власний файл нульовими байтами, фактично видаляючи його виконуваний файл з диска. Це виконується після завершення шифрування навантаження. Кроки:

    1. Визначити шлях виконуваного файла програмного забезпечення-здирника ($MyPath).
    2. Викликати fsutil.exe file setZeroData на $MyPath з прапором 0 щоб занулити весь файл.
    3. За бажанням, видалити тепер-пустий файл, щоб прибрати запис з файлової системи.

    Ця послідовність створює подію створення процесу, де Image=*fsutil.exe* і CommandLine=*file setZeroData <path>*, що відповідає правилу Sigma.

  • Скрипт регресійного тесту:

    # Симулюйте самоуничоження LockBit-NG-Dev через fsutil
# 1. Створіть фальшивий “шкідливий” виконуваний файл (імітує двійковий файл програмного забезпечення-здирника)
$maliciousPath = "$env:TEMPmalicious.exe"
Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force

# 2. Перевірте, чи існує файл та його розмір (необов'язково)
Write-Host "Створено фальшивий двійковий файл програмного забезпечення-здирника в $maliciousPath (Розмір: $(Get-Item $maliciousPath).Length байт)"

# 3. Перезапишіть файл нульовими байтами за допомогою fsutil
Write-Host "Перезапис файлу нулями за допомогою fsutil..."
fsutil.exe file setZeroData $maliciousPath 0

# 4. За бажанням: видаліть тепер-порожній файл, щоб повністю видалити сліди
Write-Host "Видалення занульованого файлу..."
Remove-Item -Path $maliciousPath -Force

Write-Host "Симуляція завершена. Перевірте виявлення в SIEM."

  • Команди очищення:

    # Переконайтеся, що всі залишкові артефакти видалені
$maliciousPath = "$env:TEMPmalicious.exe"
if (Test-Path $maliciousPath) {
    Remove-Item -Path $maliciousPath -Force
    Write-Host "Видалено залишковий файл $maliciousPath"
} else {
    Write-Host "Залишкові артефакти не знайдено."
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно