Agências governamentais dos Estados Unidos divulgaram um aviso conjunto de cibersegurança detalhando os indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs) associados ao ransomware LockBit 3.0 notório.
"As operações do ransomware LockBit 3.0 funcionam como um modelo de Ransomware-as-a-Service (RaaS) e é uma continuação das versões anteriores do ransomware, LockBit 2.0 e LockBit", disseram as autoridades.
O alerta vem cortesia do Federal Bureau of Investigation (FBI) dos EUA, da Cybersecurity and Infrastructure Security Agency (CISA) e do Multi-State Information Sharing & Analysis Center (MS-ISAC).
Desde o surgimento no final de 2019, os atores do LockBit investiram esforços técnicos significativos para desenvolver e ajustar seu malware, emitindo duas atualizações principais - LockBit 2.0, lançado no meio de 2021, e LockBit 3.0, lançado em junho de 2022.
As duas versões também são conhecidas como LockBit Red e LockBit Black, respectivamente.
"LockBit 3.0 aceita argumentos adicionais para operações específicas em movimento lateral e reinicialização em modo de segurança", de acordo com o alerta.
"Se um afiliado do LockBit não tiver acesso ao ransomware LockBit 3.0 sem senha, então um argumento de senha é obrigatório durante a execução do ransomware."
O ransomware também é projetado para infectar apenas as máquinas cujas configurações de idioma não se sobrepõem às especificadas em uma lista de exclusão, que inclui romeno (Moldávia), árabe (Síria) e tártaro (Rússia).
O acesso inicial às redes das vítimas é obtido por meio de exploração de protocolo de desktop remoto (RDP), comprometimento por drive-by, campanhas de phishing, abuso de contas válidas e armamento de aplicativos de frente pública.
Ao encontrar um ponto de ingresso bem-sucedido, o malware toma medidas para estabelecer persistência, escalar privilégios, realizar movimento lateral e limpar arquivos de log, arquivos na pasta Windows Recycle Bin e cópias de sombra, antes de iniciar a rotina de criptografia.
"Os afiliados do LockBit foram vistos usando várias ferramentas freeware e de código aberto durante suas intrusões", disseram as agências.
"Essas ferramentas são usadas para uma variedade de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos."
Uma característica definidora dos ataques é o uso de uma ferramenta de exfiltração personalizada referida como StealBit, que o grupo LockBit fornece a afiliados para fins de dupla extorsão.
Em novembro, o Departamento de Justiça dos EUA informou que a cepa de ransomware LockBit foi usada contra pelo menos 1.000 vítimas em todo o mundo, rendendo à operação mais de US$ 100 milhões em lucros ilícitos.
A empresa de cibersegurança industrial Dragos, no início deste ano, revelou que o LockBit 3.0 foi responsável por 21% de 189 ataques de ransomware detectados contra infraestrutura crítica no quarto trimestre de 2022, representando 40 incidentes.
A maioria desses ataques afetou os setores de alimentos e bebidas e manufatura.
O Internet Crime Complaint Center (IC3) do FBI, em seu último Relatório de Crimes na Internet, listou o LockBit (149), BlackCat (114) e Hive (87) como as três variantes de ransomware mais vitimizando infraestrutura crítica em 2022.
Apesar do prolífico ataque do LockBit, a gangue de ransomware sofreu um grande golpe no final de setembro de 2022, quando um desenvolvedor descontente do LockBit lançou o código do construtor para o LockBit 3.0, levantando preocupações de que outros atores criminosos pudessem aproveitar a situação e gerar suas próprias variantes.
O aviso vem no momento em que o grupo de ransomware BianLian mudou seu foco de criptografar os arquivos de suas vítimas para ataques de extorsão de dados puros, meses após a empresa de cibersegurança Avast lançar um descriptografador gratuito em janeiro de 2023.
Em um desenvolvimento relacionado, a Kaspersky publicou um descriptografador gratuito para ajudar as vítimas que tiveram seus dados bloqueados por uma versão de ransomware baseada no código-fonte Conti que vazou após a invasão da Rússia à Ucrânia no ano passado levou a fricções internas entre os membros principais.
"Dada a sofisticação das variantes de ransomware LockBit 3.0 e Conti, é fácil esquecer que pessoas estão executando essas empresas criminosas", observou a Intel 471 no ano passado.
"E, como ocorre com organizações legítimas, basta um malcontente para desvendar ou interromper uma operação complexa."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...