Vazamento do builder do ransomware LockBit 3.0 dá origem a centenas de novas variantes
28 de Agosto de 2023

O vazamento do builder do ransomware LockBit 3.0 no último ano resultou em atores de ameaças abusando da ferramenta para gerar novas variantes.

A empresa russa de segurança cibernética Kaspersky disse que detectou uma intrusão de ransomware que implantou uma versão do LockBit, mas com um procedimento de demanda de resgate marcadamente diferente.

"O atacante por trás deste incidente decidiu usar uma nota de resgate diferente com um título relacionado a um grupo antes desconhecido, chamado AGENCIA NACIONAL DE RISCO", disseram os pesquisadores de segurança Eduardo Ovalle e Francesco Figurelli.

A nota de resgate reformulada especificou diretamente o valor a ser pago para obter as chaves de descriptografia, e direcionou comunicações a um serviço Tox e email, ao contrário do grupo LockBit, que não menciona o valor e usa sua própria plataforma de comunicação e negociação.

NATIONAL HAZARD AGENCY está longe de ser a única gangue de crimes cibernéticos a usar o builder LockBit 3.0 que vazou.

Alguns dos outros atores de ameaça conhecidos por aproveitar incluem Bl00dy e Buhti.

Kaspersky observou que detectou um total de 396 amostras distintas de LockBit em sua telemetria, das quais 312 artefatos foram criados usando os builders vazados.

Até 77 amostras não fazem referência ao "LockBit" na nota de resgate.

"Muitos dos parâmetros detectados correspondem à configuração padrão do builder, apenas alguns contêm pequenas alterações", disseram os pesquisadores.

"Isso indica que as amostras provavelmente foram desenvolvidas para necessidades urgentes ou possivelmente por atores preguiçosos".

A revelação surge como a Netenrich se aprofundou em uma cepa de ransomware chamada ADHUBLLKA que se reinventou várias vezes desde 2019 (BIT, LOLKEK, OBZ, U2K, e TZW), ao mirar em indivíduos e pequenas empresas em troca de pagamentos modestos na faixa de 800 a 1.600 dólares de cada vítima.

Embora cada uma dessas iterações venha com pequenas modificações nos esquemas de criptografia, notas de resgate e métodos de comunicação, uma inspeção mais próxima os ligou todos de volta ao ADHUBLLKA devido a semelhanças no código-fonte e infraestrutura.

"Quando um ransomware é bem sucedido, é comum ver os cibercriminosos usando as mesmas amostras de ransomware - apenas ajustando sua base de código - para pilotar outros projetos", disse o pesquisador de segurança Rakesh Krishnan.

"Por exemplo, eles podem mudar o esquema de criptografia, as notas de resgate, ou os canais de comunicação de comando e controle (C2) e então se reinventar como um 'novo' ransomware".

Ransomware continua sendo um ecossistema ativamente em evolução, testemunhando frequentes mudanças de táticas e alvos para focar cada vez mais em ambientes Linux usando famílias como Trigona, Monti, e Akira, este último dos quais compartilha links com atores de ameaças afiliados à Conti.

Akira também foi ligado a ataques que armam produtos VPN da Cisco como um vetor de ataque para ganhar acesso não autorizado a redes empresariais.

A Cisco desde então reconheceu que os atores de ameaças estão mirando VPNs da Cisco que não estão configuradas para autenticação de múltiplos fatores.

"Os atacantes geralmente focam na ausência de ou em vulnerabilidades conhecidas na autenticação de múltiplos fatores (MFA) e em vulnerabilidades conhecidas no software VPN", disse a gigante dos equipamentos de rede.

"Uma vez que os atacantes obtêm um ponto de apoio em uma rede alvo, eles tentam extrair credenciais através de dumps LSASS (Serviço de Subsistema de Autoridade de Segurança Local) para facilitar o movimento adicional dentro da rede e elevar privilégios se necessário".

O desenvolvimento também surge em meio a um aumento recorde de ataques de ransomware, com o grupo de ransomware Cl0p tendo violado 1.000 organizações conhecidas explorando falhas no aplicativo MOVEit Transfer para ganhar acesso inicial e criptografar redes direcionadas.

Entidades sediadas nos EUA representam 83,9% das vítimas corporativas, seguidas por Alemanha (3,6%), Canadá (2,6%) e Reino Unido (2,1%).

Estima-se que mais de 60 milhões de indivíduos foram impactados pela campanha de exploração em massa que começou em maio de 2023.

No entanto, o raio da explosão do ataque de ransomware na cadeia de suprimentos provavelmente será muito maior.

As estimativas mostram que os atores de ameaças devem obter lucros ilícitos na ordem de $75 milhões a $100 milhões com seus esforços.

"Enquanto a campanha MOVEit pode acabar impactando mais de 1.000 empresas diretamente, e uma ordem de magnitude mais indiretamente, uma porcentagem muito muito pequena das vítimas se preocupou em tentar negociar, muito menos em contemplar o pagamento", disse a Coveware.

"Aqueles que pagaram, pagaram substancialmente mais do que as campanhas anteriores do CloP, e muitas vezes mais do que o valor médio global de resgate de $740,144 (+126% em relação ao Q1 de 2023)".

Além disso, de acordo com o relatório da Sophos 2023 Active Adversary, o tempo médio de permanência para incidentes de ransomware caiu de nove dias em 2022 para cinco dias no primeiro semestre de 2023, indicando que "as gangues de ransomware estão se movendo mais rápido do que nunca".

Em contraste, o tempo médio de permanência para incidentes não relacionados a ransomware aumentou de 11 para 13 dias.

O tempo máximo de permanência observado durante o período foi de 112 dias.

"Em 81% dos ataques de ransomware, o payload final foi lançada fora do horário tradicional de trabalho, e para aqueles que foram implantados durante o horário comercial, apenas cinco aconteceram em dias úteis", disse a empresa de segurança cibernética.

"Quase metade (43%) dos ataques de ransomware foram detectados de sexta-feira ou de sábado".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...