Το FBI δημοσίευσε τεχνικές λεπτομέρειες και δείκτες παραβίασης που σχετίζονται με επιθέσεις από το ransomware LockBit.
Η συμμορία πίσω από το ransomware LockBit είναι ενεργή από τον Σεπτέμβριο του 2019, όταν ξεκίνησε ως υπηρεσία ransomware-as-a-service (RaaS). Δύο χρόνια αργότερα, τον Ιούνιο του 2021, η LockBit ανακοίνωσε το LockBit 2.0 RaaS στο site για διαρροές δεδομένων.
Η συμμορία ransomware επανασχεδίασε τα Tor sites και αναβάθμισε το κακόβουλο λογισμικό, προσθέτοντας πιο προηγμένες λειτουργίες (π.χ. αυτόματη κρυπτογράφηση συσκευών σε Windows domains μέσω Active Directory group policies).
Δείτε επίσης: Κλάπηκαν 4,4 εκατομμύρια δολάρια σε επίθεση στην υποδομή blockchain Meter
Οι εγκληματίες του κυβερνοχώρου που χειρίζονται το Lockbit ransomware, προσπαθούν τώρα να στρατολογήσουν insiders, δηλαδή υπαλλήλους/στελέχη εταιρειών για να τους παράσχουν άμεση πρόσβαση σε εταιρικά δίκτυα μέσω του Virtual Private Network (VPN) και του Remote Desktop Protocol (RDP). Οι hackers υπόσχονται μεγάλα χρηματικά ποσά ως αντάλλαγμα.
Τον Ιανουάριο, ανακαλύφθηκε ότι το LockBit πρόσθεσε και μια Linux παραλλαγή που στοχεύει VMware ESXi servers.
Σχετικά με τη λειτουργία του LockBit ransomware, το FBI αποκάλυψε ότι το κακόβουλο λογισμικό συνοδεύεται από ένα κρυφό debug window που μπορεί να ενεργοποιηθεί κατά τη διαδικασία μόλυνσης, χρησιμοποιώντας τη συντόμευση πληκτρολογίου SHIFT + F1.
Μόλις εμφανιστεί, μπορεί να χρησιμοποιηθεί για την προβολή πληροφοριών σε πραγματικό χρόνο σχετικά με τη διαδικασία κρυπτογράφησης και την καταγραφή της κατάστασης καταστροφής δεδομένων χρήστη.
FBI: Οι εταιρείες καλούνται να αναφέρουν επιθέσεις που σχετίζονται με το LockBit ransomware
Το FBI ζήτησε από διαχειριστές και επαγγελματίες της κυβερνοασφάλειας να μοιραστούν πληροφορίες σχετικά με επιθέσεις του LockBit που στοχεύουν τα δίκτυα των εταιρειών τους.
“Το FBI αναζητά οποιεσδήποτε πληροφορίες μπορούν να κοινοποιηθούν, συμπεριλαμβανομένων boundary logs που δείχνουν επικοινωνία από και προς ξένες διευθύνσεις IP, δείγματα σημειωμάτων λύτρων, επικοινωνίες με τους φορείς απειλών, πληροφορίες πορτοφολιού Bitcoin κλπ“, ανέφερε η ομοσπονδιακή υπηρεσία.
Δείτε επίσης: Ransomware BlackCat: Σύνδεση με τις συμμορίες BlackMatter, DarkSide
Με αυτόν τον τρόπο, το FBI θα μπορέσει πιο εύκολα να παρακολουθεί κακόβουλους παράγοντες και να συντονίζεται με τον ιδιωτικό κλάδο και την κυβέρνηση των Ηνωμένων Πολιτειών, για την αποτροπή μελλοντικών επιθέσεων.
Προστασία: Πώς να υπερασπιστείτε το δίκτυό σας
Το FBI παρέχει επίσης κάποιες συμβουλές που θα βοηθούσαν στην προστασία των δικτύων από το LockBit ransomware:
- Χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για όλους τους λογαριασμούς
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων για όλες τις υπηρεσίες (όπου είναι δυνατό)
- Τακτική ενημέρωση όλων των συστημάτων και των λογισμικών
- Κατάργηση της πρόσβασης πολλών χρηστών σε σημαντικά δεδομένα
- Χρήση firewall
- Ενεργοποίηση protected files στο Windows Operating System για να αποτρέψετε μη εξουσιοδοτημένες αλλαγές σε κρίσιμα αρχεία
- Τμηαματοποίηση δικτύου για αποτροπή της εξάπλωσης του LockBit ransomware
- Προσδιορισμός, ανίχνευση και διερεύνηση μη φυσιολογικής δραστηριότητας με κατάλληλα εργαλεία
- Απενεργοποίηση command-line και scripting δραστηριοτήτων
- Διατήρηση αντιγράφων ασφαλείας δεδομένων εκτός σύνδεσης
- Όλα τα εφεδρικά δεδομένα πρέπει να είναι κρυπτογραφημένα και να καλύπτουν ολόκληρη την υποδομή δεδομένων του οργανισμού
Δείτε επίσης: Sugar ransomware: Νέα απειλή στοχεύει απλούς χρήστες/μικρές εταιρείες
Πληρωμή λύτρων;
Το FBI πρόσθεσε επίσης ότι δεν ενθαρρύνει την πληρωμή λύτρων και συμβουλεύει τις εταιρείες να μην το κάνουν. Άλλωστε, δεν είναι βέβαιο ότι μετά την πληρωμή θα λυθεί το πρόβλημα.
Επιπλέον, η υποχώρηση στις απαιτήσεις των συμμοριών ransomware ενισχύει τις επιθέσεις.
Πηγή: Bleeping Computer