About Teletype
Join
THREAD
@thread_type
Yesterday

Кратко о LockBit

О LockBit

LockBit — это группа вымогателей, которая известна своими технически сложными и эффективными методами. Ранее известная как группа ABCD. LockBit использует модель Ransomware-as-a-Service и программы bug bounty для распространения и улучшения своих программ-вымогателей. LockBit утверждает, что является самой быстрой программой-вымогателем с шифрованием на рынке RaaS и используется множеством аффилированных субъектов угроз..

LockBit — это также тип вредоносного ПО, известный как программа-вымогатель, которая была создана для захвата данных, шифрования файлов и затем требование выкупа у пользователя за их расшифровку.

Впервые данная группировка появилась в 2019 году под названием “ABCD ransomware”, названная так из-за расширения, которое добавлялось к зашифрованным файлам. В тот момент она ничем не выделялась среди других программ вымогателей, так как атаковал небольшое количество жертв, выполняя довольно базированные функции и эксплуатируя слабые пароли. Но в 2021 - м году вышла новая версия программы под названием “LockBit 2.0”, которая разлетелась по всему даркнету, ибо представляла новые возможности: программа не только шифровала файлы жертвы, но и угрожала их утечкой, если жертва отказывалась платить выкуп. Однако наибольшую популярность LockBit завоевала после того, как была внедрена бизнес-модель “программа-вымогатель как услуга” (Raas), когда желающие могли заняться распостранением вируса после покупки нужных материалов (админ панели). При удачной атаке покупатель должен был заплатить админу проценты от успешной операции.

В 2022 году вирус стал самым распространенным вредоносным ПО в мире.

Челленджи от LockBit

Lockbit проводил уникальную акцию, предложив желающим принять участие в программе баг-баунти, которая являлась довольно необычной для групп-вымогателей. В рамках данной программы они приглашали хакеров найти уязвимости на их официальном сайте, предоставляя вознаграждения за найденные уязвимости.

Также было известно, что группировка готова была платить легкие деньги за их пиар, к примеру татуировка с логотипом "LockBit" взамен на деньги.

Цель LockBit

Основные жертвы - крупные компании и правительственные организации. Мотивация для атаки крупных компаний - это выкуп с целью последующего заработка.

Некоторые цели:

  1. В начале 2023 года LockBit атаковали британскую почтовую службу Royal Mail, что привело к крупным сбоям в международной доставке. В результате атаки работа службы была частично парализована, международные отправления и доставка почты были временно приостановлены. LockBit требовали 80 млн долларов за расшифровку данных, но представители Royal Mail отказались выплачивать запрошенную сумму.
  2. В июле 2022 года LockBit атаковали налоговое агенство Италии и утверждали, что украли 100 Гб данных, включая документы компании, сканы, финансовые отчеты и контракты. LockBit угрожали публикацией данных, если выкуп не будет выплачен, однако в агенстве заявили: «В результате проведенных технических расследований Sogei исключает возможность кибератаки на веб-сайт агентства».
  3. В 2021 году LockBit провели атаку на Accenture, одну из крупнейших консалтинговых компаний в мире. Хакеры разместили на своем сайте сообщение, в котором предупредили, что начнут публиковать данные в течение нескольких часов, если Accenture не захочет выкупить их. На что компания ответила: «Мы полностью восстановили наши пострадавшие системы из резервной копии», и поэтому некоторые данные были размещены в открытом доступе.
  4. 18 декабря 2022 года 9:30 вечера вирус-вымогатель LockBit атаковал сети детской больницы SickKids, данная атака затронула внутренние и корпоративные системы, телефонные линии больницы и веб-сайт. В самой SickKids заявили, что инцидент привел к задержкам в получении результатов лабораторных исследований и визуализации, а также к увеличению времени ожидания пациентами. После данного инцидента LockBit выразил извинения за данную атаку и предоставил бесплатный дешифратор, также добавив: “Партнер, атаковавший эту больницу, нарушил наши правила, заблокирован и больше не участвует в нашей партнерской программе”.
  5. 21 августа 2022 года программа-вымогатель нарушила работу больницы Center Hospitalier Sud Francilien (CHSF), в результате чего система больницы была временно выведена из строя, что привело к сбоям в медицинских услугах, включая прием и запись пациентов и другим важным процессам. CHSF пришлось перенаправлять поступающих клиентов в другие медицинские учреждения, а персоналу больницы пришлось вернуться к ручкам и бумагам. Злоумышленники потребовали 10 миллионов долларов за расшифровку систем, однако неясно, заплатила ли больница какой-либо выкуп.

Несмотря на преступный вид деятельности, Lockbit имели “кодекс”, который включал запрет на атаки медицинских учреждений, благотворительных организаций и так далее, так же правило "неатаки" на страны СНГ. Но несмотря на установленный кодекс, Lockbit производил атаки на мед учреждения, одним из ярких примеров является атака на сеть больниц Capitol Health в 2023 году. Так же неоднократно были направлены операции ​​против сетей здравоохранения, включая детскую онкологическую больницу SickKidsKatholische Hospitalvereinigung Ostwestfalen (KHO) в Германии, а также больницу Carthage Area Hospital и медицинский центр Claxton-Hepburn в северной части штата Нью-Йорк. Следует отметить, что LockBit утверждают, что они не стоят за атакой на KHO, а что это другая банда вымогателей, которая использовала их слитый конструктор вымогателей. BleepingComputer не смог независимо проверить эти заявления.

Как работает вирус LockBit?

LockBit принадлежит к шифровальщикам LockerGoga и MegaCortex. Это означает, что он действует по той же схеме, что и другие представители этой группы. Вкратце, данный софт имеет такие свойства как:

  • автоматическое распространение после заражения
  • распространение идет целевое (к примеру по на рабочие станции компании, которые подверглись заражению)
  • в качестве распространения используются стандартные утилиты Microsoft Power Shell и SMB (Server Message Block)

LockBit функционирует на основе заранее заданных автоматических процессов, что отличает его от большинства аналогичных атак, которые после успешного проникновения в сеть требуют ручного управления. В таких случаях на наблюдение и сбор информации о жертве могут потребоваться недели, а то и месяцы.

Типы атак LockBit

  • Эксплуатация
  • Внедрение
  • Развертывание

Эксплуатация

Атака начинается с использования методов социальной инженерии, таких как фишинг, при которых злоумышленник выдает себя за доверенное лицо или начальство и запрашивает у жертвы конфиденциальные данные. Также возможен несанкционированный доступ к внутренним серверам и системам организации путем подбора пароля. Если сетевая инфраструктура не настроена должным образом, злоумышленникам может потребоваться всего несколько дней для получения доступа к системе.

Внедрение

Для завершения настройки атаки программа LockBit действует автономно, начиная с этого этапа. Она запрограммирована на использование инструментов постэксплуатации, которые позволяют повысить привилегии для получения доступа, необходимого для успешной атаки. Также программа использует уже открытый доступ в ходе горизонтального перемещения для сбора информации о перспективности жертвы.

Развертывание

После того как LockBit завершает подготовку, начинается процесс распространения шифровальщика на все доступные устройства. Для этого требуется минимальное количество ресурсов. Один элемент системы с высоким уровнем доступа может передать другим элементам команду на скачивание и запуск LockBit.

Несмотря на то, что LockBit постоянно поддерживался и обновлялся со стороны своей группировки, то все равно цель была одна - зашифровать все данные и требовать выкуп.

Оригинальная версия программы-шифровальщика присваивала файлам расширение .abcd плюсом в каждую папку вымогатель подсовывал текстовый файл с требованиями для выкупа. Для выкупа обязательно нужно было скачать браузер ТОР и следовать дальнейшим инструкциям, чтобы получить ключ расшифровки.

Более новая, усовершенствованная версия подменяет расширение файлов на .lockbit и не просит пользователя в обязательно порядке скачивать браузер ТОР, а просто перенаправляет в clear-нет среду, на сайт злоумышленника.

Более детальный анализ программы-вымогателя можно посмотреть здесь.

Операция «Кронос»

Операция «Кронос» — это крупномасштабная операция правоохранительных органов, которая была проведена в феврале 2024 года с целью ликвидации группы LockBit, одного из наиболее известных и опасных операторов программ-вымогателей в мире. Операция была организована Национальным агентством по борьбе с преступностью Великобритании (NCA) при поддержке международных партнёров, таких как ФБР, Европол, а также правоохранительных органов Германии, Франции, Швеции, Канады и других стран.

В результате операции была скомпрометирована инфраструктура сайта LockBit, а также другие критически важные объекты. Правоохранительные органы отключили 34 сервера, принадлежащих группировке, в Нидерландах, Германии, Финляндии, Франции, Швейцарии, Австралии, США и Великобритании. Национальное агентство по борьбе с преступностью Великобритании получило исходный код платформы LockBit и обширные данные о деятельности группировки.

Основные достижения операции включают:

  1. Сотрудники правоохранительных органов смогли проникнуть в систему LockBit, что дало им возможность получить доступ к исходному коду программного обеспечения и более 1000 ключей для расшифровки данных.
  2. Аресты и обвинения: два участника группы были арестованы в Польше и Украине, а также были выдвинуты обвинения против российских граждан.
  3. Заморозка криптовалютных счетов: более 200 аккаунтов, связанных с LockBit, были заблокированы, что затруднило финансовую деятельность группы.
  4. Эти действия привели к значительному снижению активности LockBit. Уже в первые месяцы после операции было зафиксировано резкое сокращение числа атак, и группа столкнулась с трудностями в наборе новых участников. В ответ на это, LockBit признал некоторые уязвимости в своей инфраструктуре и пообещал продолжить работать, несмотря на серьезные потери.

Одним из немало важных фактов является то, что в США Министерство юстиции предъявило обвинения гражданам России Артуру Сунгатову и Ивану Кондратьеву, известному как «Bassterlord», за использование LockBit против компаний по всему миру.

В рамках операции было выявлено, что те компании, которые платили выкуп у организации LockBit за расшифровку данных - не были в полной безопасности и все зашифрованные данные в любом случае перетекали на сервера LockBit, что еще раз подчеркивает их мнимый "Кодекс". В любом случае, те компании, которые подвергались атаке LockBit теряли всю конфиденциальную информацию, что до шифрования всех файлов, что после шифрования.

LockBit - всё?

Стоит подчеркнуть, что Операция «Кронос» была успешной, но о распаде группировки никто не говорил. По данным взятым из некоторых источников (techradar, xaker, anyrun), а также "официального" заявления саппорта LockBit - они возвращаются и будут продолжать работу

«Благодаря разделению панели и повышению децентрализации, отсутствию пробных расшифровщиков, созданных в автоматическом режиме, максимальной защите дешифраторов для каждой компании, шанс [нового] взлома будет значительно снижен» (с) LockBitSupp

Правдивое это заявление или нет - остается лишь догадываться. Тем не менее, мы считаем, что ключевые фигуры LockBit все еще на свободе и они готовятся производить новые атаки.

LockBit Builder Files

Ознакомиться с шифровальщиком можно по ссылке.

#papers#malware
THREAD
Yesterday, 15:14
0 reactions
0 views