Ερευνητές αναλύουν εις βάθος τον τρόπο με τον οποίο λειτουργεί η «επιχείρηση» του LockBit, μιας από τις νεότερες ransomware ομάδες στο τοπίο των απειλών. Το ransomware έχει εξελιχθεί σε μια από τις κορυφαίες μορφές κυβερνοεπίθεσης φέτος. Το 2017 ήταν η πρώτη φορά που είδαμε τη σοβαρή διαταραχή που θα μπορούσε να προκαλέσει το εν λόγω malware – με το παγκόσμιο ξέσπασμα του WannaCry – και φθάνοντας στο 2021, δεν φαίνεται να έχει αλλάξει τίποτα προς το καλύτερο.
Μόνο φέτος, έχουμε δει μέχρι στιγμής τη ransomware επίθεση στην Colonial Pipeline – που προκάλεσε προσωρινή έλλειψη τροφοδοσίας καυσίμου σε περιοχές των ΗΠΑ -, προβλήματα που εξακολουθεί να αντιμετωπίζει η εθνική υπηρεσία υγείας της Ιρλανδίας μετά από ransomware επίθεση, καθώς και διακοπή των συστημάτων του κορυφαίου προμηθευτή κρέατος των ΗΠΑ “JBS” λόγω ransomware επίθεσης.
Οι ransomware συμμορίες αναπτύσσουν κακόβουλα προγράμματα, τα οποία μπορούν να κρυπτογραφούν και να «κλειδώνουν» συστήματα, ενώ ενδέχεται επίσης να κλέψουν εμπιστευτικά δεδομένα κατά τη διάρκεια μιας επίθεσης. Στη συνέχεια, ζητούν από τα θύματα λύτρα, για να τους παράσχουν ένα κλειδί αποκρυπτογράφησης. Πολλές συμμορίες, μάλιστα, εφαρμόζουν την τακτική του «διπλού εκβιασμού», όπου αφενός ζητούν λύτρα από τα θύματα και αφετέρου τα απειλούν με διαρροή των κλεμμένων δεδομένων ή και με πώληση αυτών στο dark web.
Διαβάστε επίσης: G7 προς Ρωσία: Ασχοληθείτε με τις συμμορίες ransomware που βρίσκονται στην χώρα
Το κόστος των ransomware επιθέσεων αναμένεται να φτάσει τα 265 δισεκατομμύρια δολάρια παγκοσμίως μέχρι το 2031, ενώ οι πληρωμές ανέρχονται συνήθως σε εκατομμύρια δολάρια – όπως στην περίπτωση της JBS. Ωστόσο, δεν υπάρχει καμία εγγύηση ότι τα κλειδιά αποκρυπτογράφησης είναι κατάλληλα για συγκεκριμένο σκοπό ή ότι η πληρωμή λύτρων μία φορά θα εξασφαλίσει ότι ένας οργανισμός δεν θα «χτυπηθεί» ξανά από χάκερς.
Μια έρευνα της Cybereason που κυκλοφόρησε αυτήν την εβδομάδα, έδειξε ότι έως και το 80% των επιχειρήσεων που πέφτουν θύματα ransomware, έχουν υποστεί και δεύτερη επίθεση, πιθανώς από τους ίδιους κακόβουλους παράγοντες.
Η απειλή του ransomware για τις επιχειρήσεις και τα κρίσιμα βοηθητικά προγράμματα, έχει εξελιχθεί σε μια αρκετά σοβαρή υπόθεση, ώστε το ζήτημα βρέθηκε στην ατζέντα της συνάντησης του προέδρου των ΗΠΑ, Joe Biden, και του Ρώσου προέδρου, Vladimir Putin, στη σύνοδο κορυφής της Γενεύης.
Το Prodaft Threat Intelligence group (PTI) δημοσίευσε μια έκθεση, με την οποία εξερευνά τη συμμορία του LockBit και τις θυγατρικές της. Σύμφωνα με την έκθεση, το LockBit, που πιστεύεται ότι ανέπτυσσε δραστηριότητα στο παρελθόν με την ονομασία «ABCD», λειτουργεί μια δομή RaaS που παρέχει σε ομάδες συνεργατών ένα κεντρικό control panel για τη δημιουργία νέων δειγμάτων LockBit, τη διαχείριση των θυμάτων τους, τη δημοσίευση blog posts και την ανάπτυξη στατιστικών στοιχείων σχετικά με την επιτυχία ή την αποτυχία των προσπαθειών επίθεσης.
Δείτε ακόμη: JBS: Έδωσε λύτρα ύψους $11 εκατομμυρίων στη REvil ransomware ομάδα
Η έκθεση αποκάλυψε επίσης ότι οι θυγατρικές της συμμορίας του LockBit αγοράζουν συχνά πρόσβαση Remote Desktop Protocol (RDP) σε servers ως αρχικό φορέα επίθεσης, παρόλο που μπορεί να χρησιμοποιούν και κοινές τεχνικές phishing και credential-stuffing.
Επιπλέον, χρησιμοποιούνται exploits για την παραβίαση ευάλωτων συστημάτων, συμπεριλαμβανομένων VPN Fortinet bugs που δεν έχουν διορθωθεί σε μηχανήματα – στόχους.
Εγκληματολογικές έρευνες για μηχανήματα που δέχονται επίθεση από συνεργάτες του LockBit, δείχνουν ότι οι ομάδες απειλών συχνά προσπαθούν πρώτα να εντοπίσουν συστήματα “κρίσιμα για την αποστολή”, συμπεριλαμβανομένων συσκευών NAS, backup servers και ελεγκτών domain. Στη συνέχεια, ξεκινά η αποβολή δεδομένων και τα πακέτα συνήθως φορτώνονται σε υπηρεσίες, συμπεριλαμβανομένης της πλατφόρμας αποθήκευσης cloud της MEGA.
Στη συνέχεια αναπτύσσεται ένα δείγμα του LockBit με μη αυτόματο τρόπο και τα αρχεία κρυπτογραφούνται με ένα κλειδί AES. Τα αντίγραφα ασφαλείας διαγράφονται και η ταπετσαρία συστήματος αλλάζει, εμφανίζοντας ένα σημείωμα λύτρων με link που παραπέμπει σε μία διεύθυνση site .onion, για την αγορά software αποκρυπτογράφησης.
Το site προσφέρει επίσης μια κρυπτογράφηση «δοκιμή», στην οποία ένα αρχείο – με μέγεθος μικρότερο από 256 KB – μπορεί να αποκρυπτογραφηθεί δωρεάν. Ωστόσο, αυτό δεν γίνεται μόνο για να φανεί ότι είναι δυνατή η αποκρυπτογράφηση. Ένα κρυπτογραφημένο αρχείο πρέπει να υποβληθεί σε συνεργάτες, προκειμένου να δημιουργηθεί ένας αποκρυπτογράφος για το συγκεκριμένο θύμα.
Πρόταση: Colonial Pipeline: Ανακτήθηκε το μεγαλύτερο μέρος των λύτρων που καταβλήθηκαν στο DarkSide
Εάν τα θύματα δεχτούν να διαπραγματευτούν με τους επιτιθέμενους, οι δεύτεροι μπορούν να ανοίξουν ένα παράθυρο συνομιλίας στο LockBit panel για να τους μιλήσουν. Οι συνομιλίες ξεκινούν συχνά με τη ζήτηση λύτρων, την προθεσμία και τον τρόπο πληρωμής – συνήθως σε Bitcoin – και οδηγίες σχετικά με τον τρόπο αγοράς κρυπτονομισμάτων.
Η Prodaft μπόρεσε να αποκτήσει πρόσβαση στο LockBit panel, αποκαλύπτοντας usernames συνεργατών της συμμορίας, αριθμούς θυμάτων, ημερομηνίες εγγραφής και στοιχεία επικοινωνίας.
Σύμφωνα με τους ερευνητές, στοιχεία από τα ονόματα και τις διευθύνσεις των συνεργατών, υποδηλώνουν ότι ορισμένοι από αυτούς ίσως συνδέονται και με τις συμμορίες των Babuk και REvil, δύο άλλες ομάδες RaaS – ωστόσο, η έρευνα συνεχίζεται.
Οι συνεργάτες της συμμορίας του LockBit ζητούν, κατά μέσο όρο, περίπου 85.000$ από κάθε θύμα, το 10-30% των οποίων πηγαίνει στους χειριστές της RaaS. Επιπλέον, το εν λόγω ransomware έχει «μολύνει» χιλιάδες συσκευές σε όλο τον κόσμο. Πάνω από το 20% των θυμάτων του δραστηριοποιούνται στον τομέα των software και των υπηρεσιών.
Αυτή τη στιγμή, το data leak site τη συμμορίας του LockBit δεν είναι διαθέσιμο. Μετά τη διείσδυση στα συστήματα του LockBit, οι ερευνητές αποκρυπτογράφησαν τα δεδομένα όλων των θυμάτων που βρίσκονταν στην πλατφόρμα.
Πηγή πληροφοριών: zdnet.com
