Agências governamentais dos Estados Unidos divulgaram um aviso conjunto de cibersegurança detalhando os indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs) associados ao ransomware LockBit 3.0 notório.
"As operações do ransomware LockBit 3.0 funcionam como um modelo de Ransomware-as-a-Service (RaaS) e é uma continuação das versões anteriores do ransomware, LockBit 2.0 e LockBit", disseram as autoridades.
O alerta vem cortesia do Federal Bureau of Investigation (FBI) dos EUA, da Cybersecurity and Infrastructure Security Agency (CISA) e do Multi-State Information Sharing & Analysis Center (MS-ISAC).
Desde o surgimento no final de 2019, os atores do LockBit investiram esforços técnicos significativos para desenvolver e ajustar seu malware, emitindo duas atualizações principais - LockBit 2.0, lançado no meio de 2021, e LockBit 3.0, lançado em junho de 2022.
As duas versões também são conhecidas como LockBit Red e LockBit Black, respectivamente.
"LockBit 3.0 aceita argumentos adicionais para operações específicas em movimento lateral e reinicialização em modo de segurança", de acordo com o alerta.
"Se um afiliado do LockBit não tiver acesso ao ransomware LockBit 3.0 sem senha, então um argumento de senha é obrigatório durante a execução do ransomware."
O ransomware também é projetado para infectar apenas as máquinas cujas configurações de idioma não se sobrepõem às especificadas em uma lista de exclusão, que inclui romeno (Moldávia), árabe (Síria) e tártaro (Rússia).
O acesso inicial às redes das vítimas é obtido por meio de exploração de protocolo de desktop remoto (RDP), comprometimento por drive-by, campanhas de phishing, abuso de contas válidas e armamento de aplicativos de frente pública.
Ao encontrar um ponto de ingresso bem-sucedido, o malware toma medidas para estabelecer persistência, escalar privilégios, realizar movimento lateral e limpar arquivos de log, arquivos na pasta Windows Recycle Bin e cópias de sombra, antes de iniciar a rotina de criptografia.
"Os afiliados do LockBit foram vistos usando várias ferramentas freeware e de código aberto durante suas intrusões", disseram as agências.
"Essas ferramentas são usadas para uma variedade de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos."
Uma característica definidora dos ataques é o uso de uma ferramenta de exfiltração personalizada referida como StealBit, que o grupo LockBit fornece a afiliados para fins de dupla extorsão.
Em novembro, o Departamento de Justiça dos EUA informou que a cepa de ransomware LockBit foi usada contra pelo menos 1.000 vítimas em todo o mundo, rendendo à operação mais de US$ 100 milhões em lucros ilícitos.
A empresa de cibersegurança industrial Dragos, no início deste ano, revelou que o LockBit 3.0 foi responsável por 21% de 189 ataques de ransomware detectados contra infraestrutura crítica no quarto trimestre de 2022, representando 40 incidentes.
A maioria desses ataques afetou os setores de alimentos e bebidas e manufatura.
O Internet Crime Complaint Center (IC3) do FBI, em seu último Relatório de Crimes na Internet, listou o LockBit (149), BlackCat (114) e Hive (87) como as três variantes de ransomware mais vitimizando infraestrutura crítica em 2022.
Apesar do prolífico ataque do LockBit, a gangue de ransomware sofreu um grande golpe no final de setembro de 2022, quando um desenvolvedor descontente do LockBit lançou o código do construtor para o LockBit 3.0, levantando preocupações de que outros atores criminosos pudessem aproveitar a situação e gerar suas próprias variantes.
O aviso vem no momento em que o grupo de ransomware BianLian mudou seu foco de criptografar os arquivos de suas vítimas para ataques de extorsão de dados puros, meses após a empresa de cibersegurança Avast lançar um descriptografador gratuito em janeiro de 2023.
Em um desenvolvimento relacionado, a Kaspersky publicou um descriptografador gratuito para ajudar as vítimas que tiveram seus dados bloqueados por uma versão de ransomware baseada no código-fonte Conti que vazou após a invasão da Rússia à Ucrânia no ano passado levou a fricções internas entre os membros principais.
"Dada a sofisticação das variantes de ransomware LockBit 3.0 e Conti, é fácil esquecer que pessoas estão executando essas empresas criminosas", observou a Intel 471 no ano passado.
"E, como ocorre com organizações legítimas, basta um malcontente para desvendar ou interromper uma operação complexa."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...