Imagine um fantasma virtual se esgueirando pelas sombras digitais, bloqueando silenciosamente os dados e deixando uma mensagem assustadora exigindo um resgate. Esse é o ransomware LockBit, o causador de problemas furtivo no mundo da segurança cibernética. Neste blog, vamos desvendar os mistérios do LockBit: como ele se infiltra e causa estragos e por que as empresas devem ficar em alerta máximo.
O que é o LockBit?
O grupo LockBit é um grupo de Ransomware as a Service (RaaS) que criptografa arquivos e exige um resgate para liberá-los. Operando nas sombras, a gangue do LockBit permanece indetectável, utilizando um modelo de RaaS e empregando técnicas sofisticadas em ataques cibernéticos de alto nível direcionados a organizações em todo o mundo. O grupo se infiltra nos sistemas por meio de vulnerabilidades, criptografa arquivos e deixa as vítimas com uma nota de resgate exigindo pagamentos em criptomoedas em troca da descriptografia do arquivo. Conhecido por sua furtividade e evolução, o LockBit esteve envolvido em vários incidentes de segurança cibernética.
A anatomia de um ataque do ransomware LockBit (LockBit 3.0)
1. Acesso inicial
O primeiro estágio de um ataque do LockBit ransomware envolve a obtenção de acesso inicial a um sistema-alvo. Os afiliados do LockBit 3.0 que executam o ransomware garantem a entrada nas redes das vítimas usando vários métodos, incluindo a exploração do Remote Desktop Protocol (RDP), a participação em comprometimento drive-by, a realização de campanhas de phishing, o abuso de contas válidas e o aproveitamento de vulnerabilidades em aplicações voltadas para o público. Notavelmente, durante a fase de instalação, o LockBit 3.0 faz tentativas de aumentar os privilégios se os privilégios adquiridos inicialmente forem insuficientes.
2. Criptografia
O LockBit 3.0 se infiltra nas redes usando credenciais pré-configuradas ou contas locais comprometidas. Ele se espalha por meio de Group Policy Objects e PsExec através do protocolo Server Message Block. O ransomware criptografa os dados, excluindo os principais arquivos do sistema. Em seguida, ele deixa uma nota de resgate, altera a aparência do dispositivo com a marca LockBit 3.0 e transmite as informações criptografadas para um servidor de comando e controle. Depois de concluir suas tarefas, o LockBit 3.0 pode se excluir e remover as atualizações da Política de Grupo, dependendo da configuração de compilação.
3. Exfiltração
A exfiltração é uma técnica comum empregada pelos afiliados do LockBit 3.0, geralmente por meio do StealBit, uma ferramenta proprietária de exfiltração herdada do LockBit 2.0. Além disso, eles usam o rclone, uma ferramenta de armazenamento em nuvem de código aberto, juntamente com ferramentas de compartilhamento de arquivos acessíveis, como o MEGA. Essas ferramentas permitem que os afiliados extraiam arquivos de dados da empresa antes de iniciar o processo de criptografia.
Variantes do LockBit
LockBit 2.0
O LockBit 2.0, uma variante atualizada do RaaS que surgiu em junho de 2021, sucedeu o LockBit e seu antecessor, o ransomware ABCD, que foi detectado inicialmente em setembro de 2019. Por meio de recrutamento ativo em fóruns clandestinos, o LockBit 2.0 ganhou destaque no terceiro trimestre de 2021. Ostentando o software de criptografia mais rápido entre os contemporâneos, ele continuou as operações quando outros programas RaaS desapareceram em 2021.
LockBit 3.0
Também conhecido como LockBit Black, esse ransomware surgiu em março de 2022, quando a gangue do LockBit anunciou seu plano de liberar on-line os dados das vítimas não pagantes em um formato amigável e pesquisável. Visando dados cruciais nos Estados Unidos, no Reino Unido e na Alemanha, o LockBit se baseia em senhas fracas e na ausência de MFA para acesso à conta do administrador. A introdução de um programa de recompensa por bugs pelo LockBit 3.0 sinaliza o avanço tecnológico, incentivando os hackers a identificar suas vulnerabilidades.
O LockBit inicia seus ataques aproveitando-se das vulnerabilidades das aplicações, tentando adivinhar as senhas RDP e empregando técnicas de phishing. Em seguida, os invasores executam o ransomware, erradicam os registros e criptografam os dados em dispositivos locais e remotos por meio do PowerShell Empire.
LockBit Green
O LockBit Green é uma adição recente ao conjunto de variantes do ransomware LockBit. Revelada em 27 de janeiro de 2023 por meio de capturas de tela compartilhadas nas mídias sociais por uma equipe de pesquisa chamada vx-underground, essa variante parece seguir o padrão típico de visar ambientes Windows com seus recursos de ransomware.
LockBit para Mac
Em abril de 2023, a gangue do ransomware LockBit marcou uma mudança significativa em suas operações ao desenvolver criptografadores projetados especificamente para atacar o macOS pela primeira vez. Essa descoberta foi feita pelos pesquisadores de segurança cibernética MalwareHunterTeam, que identificaram um arquivo ZIP no VirusTotal contendo o que parecia ser uma coleção de criptografadores LockBit recém-criados.
Um ataque recente do LockBit
Em fevereiro de 2023, o The Guardian informou que o Royal Mail rejeitou um pedido de resgate de US$ 80 milhões feito por hackers ligados à Rússia em meio a um ataque cibernético de ransomware que começou em janeiro de 2023. A gangue do LockBit se infiltrou no software da empresa, criptografou arquivos cruciais e interrompeu as remessas internacionais. As transcrições da Dark Web atribuídas à LockBit revelaram negociações contenciosas em que o Royal Mail resistiu a exigências cada vez mais agressivas. Após duas semanas, os hackers fixaram o resgate em US$ 80 milhões, afirmando que esse valor correspondia a 0,5% da receita da empresa, para a descriptografia dos arquivos.
Detectando o LockBit com uma solução SIEM
A detecção do ransomware LockBit usando uma solução SIEM envolve o aproveitamento da análise abrangente de registros e do monitoramento comportamental. Veja como o ManageEngine Log360 pode ser empregado para uma detecção eficaz:
1. Anomalias comportamentais
O Log360 monitora padrões de comportamento incomuns, detectando instantaneamente desvios nas tentativas de acesso a arquivos, interações do sistema ou tráfego de rede que indicam atividade do ransomware LockBit.
2. Anomalias de usuários
O UEBA do Log360 identifica comportamentos suspeitos do usuário, como escalonamento de privilégios ou tentativas incomuns de acesso a dados, auxiliando na detecção precoce da infiltração do LockBit.
3. Monitoramento de endpoints
A solução SIEM monitora os endpoints em busca de processos ou modificações de arquivos incomuns, fornecendo alertas em tempo real sobre atividades associadas ao ransomware LockBit.
4. Análise de tráfego de rede
A solução SIEM analisa o tráfego de rede em busca de padrões consistentes com o movimento lateral do LockBit, ajudando a identificar e conter rapidamente a disseminação do ransomware.
O Log360 alinha seus mecanismos de detecção e resposta com a estrutura MITRE ATT&CK para se concentrar em técnicas comumente associadas ao ransomware LockBit, como o movimento lateral.
6. Monitoramento da integridade dos arquivos
A solução SIEM usa verificações de integridade de arquivos para detectar modificações não autorizadas que sinalizam possíveis ataques do LockBit, permitindo resposta imediata e mitigação.
Medidas essenciais de segurança
1. Faça backups regulares dos dados essenciais e garanta que os backups sejam armazenados off-line ou em um ambiente seguro e isolado.
2. Empregue soluções antivírus, antimalware e SIEM confiáveis para detectar e bloquear o ransomware antes que ele possa ser executado.
3. Use soluções de filtragem de e-mail para identificar e bloquear e-mails suspeitos.
4. Implemente soluções de proteção de endpoints para monitorar e controlar os dispositivos conectados à rede a fim de detectar e impedir atividades mal-intencionadas.
5. Segmente a rede para limitar a disseminação do ransomware. Restrinja o movimento lateral separando os sistemas críticos dos menos sensíveis.
6. Aplique a MFA para acesso a sistemas e dados confidenciais para adicionar uma camada extra de segurança, dificultando o acesso de usuários não autorizados.
7. Participe do compartilhamento de inteligência sobre ameaças para manter-se informado sobre os últimos desenvolvimentos e as técnicas usadas pelo LockBit e outras variantes de ransomware.
8. Assegure a conformidade com as leis relevantes relativas à proteção de dados e à segurança cibernética.
Artigo original: https://blogs.manageengine.com/corporate/general/2024/01/22/navigating-the-threat-landscape-of-lockbit.html