Ransomware em Destaque: LockBit

O conjunto de intrusões LockBit, rastreado pela Trend Micro como Water Selkie, é uma das operações de ransomware mais ativas atualmente. Com os fortes recursos de malware e programa de afiliados do LockBit, as organizações devem manter-se a par de suas máquinas para identificar riscos de forma eficaz e se defender contra ataques.

O LockBit surgiu pela primeira vez como o ransomware ABCD em setembro de 2019, que foi aprimorado para se tornar uma das famílias de ransomware mais produtivas da atualidade.

Por meio de suas operações profissionais e forte programa de afiliados, os operadores do LockBit provaram que estavam nisso há muito tempo. Assim, conhecer suas táticas ajudará as organizações a fortalecer suas defesas contra ataques de ransomware presentes e futuros.

O que as organizações precisam saber sobre o LockBit?

O LockBit usa um modelo de ransomware as-a-service (RaaS) e concebe consistentemente novas maneiras de ficar à frente de seus concorrentes. Seus métodos de dupla extorsão também adicionam mais pressão às vítimas, aumentando os riscos de suas campanhas.

Veja o infográfico de “Ransomware Spotlight: Lockbit” (ao lado)

Uma de suas táticas notáveis foi a criação e uso do malware StealBit, que automatiza a exfiltração de dados. Essa ferramenta foi vista com o lançamento do LockBit 2.0, a última versão conhecida, que tem sido elogiada por seus criadores por ter a criptografia mais rápida e eficiente entre seus concorrentes. Em outubro de 2021, o LockBit também se expandiu para hosts Linux, especificamente servidores ESXi, em seu lançamento do Linux-ESXI Locker versão 1.0. Essa variante é capaz de direcionar hosts Linux e pode ter um grande impacto nas organizações que são alvo.

Outro lado das operações da LockBit é o recrutamento e marketing para afiliados. É conhecido por contratar corretores de acesso à rede, cooperar com outros grupos criminosos (como o agora extinto Maze), recrutar membros da empresa e patrocinar concursos de redação técnica clandestina para recrutar cibercriminosos talentosos. Usando essas táticas, o grupo LockBit se tornou uma das gangues organizadas mais profissionais do submundo do crime.

As táticas que enumeramos são evidentes em seu ataque à Accenture em 2021. Especialistas suspeitam que um insider ajudou o grupo a obter acesso à rede da empresa. O LockBit também publicou uma pequena parte dos dados roubados do ataque.

Figura 1. Cronograma de atividades notáveis do LockBit

O impacto do LockBit e insights da Water Selkie

Nossa investigação sobre a intrusão por trás do LockBit, que rastreamos como Water Selkie, revela a eficácia e o impacto das táticas que discutimos. As principais conclusões são as seguintes:

  • O desempenho do malware é um forte argumento de venda. A velocidade e os recursos do malware são amplamente conhecidos porque o grupo os usa como pontos de venda. Os esforços do grupo de ameaças para divulgar os recursos de seu malware o estabeleceram como o ransomware com um dos métodos de criptografia mais rápidos e eficientes.
  • Ele considera as pressões externas e os problemas enfrentados por seus alvos potenciais. Os operadores da Water Selkie indicaram preferência por vítimas na Europa que temem violar o Regulamento Geral de Proteção de Dados da UE (GDPR). Eles continuam a considerar os EUA como alvo lucrativo, mas veem que as leis de privacidade de dados podem afetar suas chances de obter um pagamento bem-sucedido. Em geral, estão sintonizados com questões geopolíticas que podem usar a seu favor.
  • Bancos na força de seu programa de afiliados. Como mencionado anteriormente, um fator que contribui para o sucesso do LockBit é o quão bem ele recruta afiliados confiáveis e capazes. As evidências também sugerem que diversas de suas afiliadas estão envolvidas em várias operações de RaaS, o que ajuda a Water Selkie a inovar e acompanhar sua concorrência. Em troca, a Water Selkie se orgulha de sua operação profissional na qual os afiliados podem confiar.
  • Tem mais para o futuro. A Water Selkie aumentou claramente as operações no segundo semestre de 2021. Vemos que o conjunto de intrusões manterá ou aumentará seu nível de atividade no primeiro semestre de 2022. As organizações também devem esperar mais ataques à cadeia de suprimentos no futuro, de acordo com uma entrevista conduzida com um dos operadores do LockBit.

Com os afiliados do LockBit provavelmente envolvidos em outras operações de RaaS, suas táticas se encaixando nas de outros grupos de ransomware não é algo impossível de acontecer. As organizações, portanto, se beneficiariam ao reconhecer as táticas, técnicas e procedimentos (TTPs) do LockBit apresentados nas próximas seções.

Principais setores e países afetados

Nesta seção, discutimos os dados da Trend Micro™ Smart Protection Network™, que são detecções de tentativas do LockBit de comprometer as organizações. O LockBit foi detectado em todo o mundo, com os EUA vendo a maioria das tentativas de ataque de junho de 2021 a 20 de janeiro de 2022, seguidos pela Índia e pelo Brasil. Como muitas famílias de ransomware, o LockBit evita os países da Comunidade de Estados Independentes (CEI).

Figura 2. Países com o maior número de tentativas de ataque por máquina para o ransomware LockBit (1 de julho de 2021 a 20 de janeiro de 2022)

Fonte: infraestrutura da Trend Micro™ Smart Protection Network™

Vimos a maioria das detecções relacionadas ao LockBit no setor de saúde, seguidas pelo setor de educação. Os agentes de ameaças do LockBit alegaram que não atacam instituições de saúde, educacionais e de caridade. Este “código de ética contraditório” foi observado pelo Departamento de Serviços de Saúde dos EUA (HHS), que adverte o público a não confiar em tais declarações, pois elas tendem a se dissolver diante de alvos fáceis.

Figura 3. Setores com o maior número de tentativas de ataque por máquina para o ransomware LockBit (1º de julho de 2021 a 20 de janeiro de 2022)

Fonte: infraestrutura Trend Micro Smart Protection Network

No geral, vimos um aumento na atividade relacionada ao LockBit após o lançamento do LockBit 2.0, com pico em novembro de 2021.

Figura 4. Detecções mensais do LockBit por máquina (1º de julho de 2021 a 20 de janeiro de 2022)

Fonte: infraestrutura Trend Micro Smart Protection Network

Regiões e setores segmentados de acordo com o site de vazamento do LockBit

Nesta seção, examinamos o número de ataques registrados no site de vazamento da LockBit, que representa organizações comprometidas com sucesso que, até o momento, se recusaram a pagar resgate. Em nossa incursão no site de vazamento dos operadores do LockBit de 16 de dezembro de 2021 a 15 de janeiro de 2022, observamos que eles tiveram o maior número de vítimas registradas entre os grupos de ransomware ativos em 41, seguidos por Conti em 29. Observe, no entanto, que a LockBit foi acusada de inflar artificialmente o número de suas vítimas.

Olhando para a lista de suas vítimas, parece que mais da metade das organizações estão sediadas na América do Norte, seguidas pela Europa e Ásia-Pacífico.

Figura 5. Distribuição regional das vítimas do LockBit de acordo com o local de vazamento do grupo (16 de dezembro de 2021 a 15 de janeiro de 2022)

O LockBit visa organizações indiscriminadamente, pois suas vítimas vêm de muitos setores diferentes em comparação com outros grupos. No período acima mencionado, eles têm vítimas provenientes dos setores financeiro, serviços profissionais, manufatura e construção, apenas para citar alguns. A maioria das vítimas do LockBit foram pequenas ou pequenas e médias empresas (SMBs) – 65,9% e 14,6%, respectivamente, com as empresas compreendendo apenas 19,5%. Isso está em desacordo com um grupo como o Conti, que vitimou 44,8% das empresas e 34,5% das PMEs, e apenas 20,7% das pequenas empresas.

Figura 6. Distribuição por setor das vítimas do LockBit de acordo com o local de vazamento do grupo (16 de dezembro de 2021 a 15 de janeiro de 2022)

Em nossa observação das atividades dentro do site de vazamento do LockBit para o mesmo período, a maioria dos ataques ocorreu durante a semana, aproximadamente 78% do total, enquanto 22% ocorreram durante o fim de semana.

Cadeia de infecção e técnicas

Operando como um RaaS, as cadeias de infecção LockBit mostram uma variedade de táticas e ferramentas empregadas, dependendo das afiliadas envolvidas no ataque. Os afiliados geralmente compram acesso a alvos de outros agentes de ameaças, que normalmente o obtêm por meio de phishing, explorando aplicações vulneráveis ou contas de protocolo de área de trabalho remota (RDP) de força-bruta.

Aqui estão alguns dos fluxos de infecção observados das variantes do LockBit:

Figura 7. Uma campanha LockBit 1.0 que usou o PowerShell Empire para executar comando e controle após obter acesso ao sistema

Figura 8. Uma campanha LockBit 1.0 que usou o Microsoft RAS para acessar outros sistemas

Figura 9. Uma campanha LockBit 1.0 que usou o Meterpreter para executar comando e controle após obter acesso ao sistema

Figura 10. Uma campanha LockBit 1.0 que não envolveu nenhuma varredura de rede, pois implantou diretamente o payload após obter acesso ao sistema

Figura 11. Cadeia de infecção do LockBit 2.0 que usa StealBit para exfiltração automatizada de dados

 

       

 

       

  (clique para expandir)

(clique para expandir)

 

Resumo de malware, ferramentas e exploits usados

As equipes de segurança podem ficar atentas à presença das seguintes ferramentas de malware e exploits que normalmente são usados em ataques do LockBit:

(clique para expandir)

Recomendações

Como mencionado anteriormente, esperamos que o LockBit continue seu nível de atividade, se não aumentá-lo nos próximos meses. De nossa discussão, o LockBit também demonstra operações consistentes e versáteis que se adaptam às tendências atuais que afetam o cenário de ameaças. As organizações, portanto, também devem se manter a par das últimas mudanças que podem influenciar suas próprias medidas de segurança.

Para ajudar a defender os sistemas contra ameaças semelhantes, as organizações podem estabelecer estruturas de segurança que possam alocar recursos sistematicamente para estabelecer uma defesa sólida contra ransomware.

Aqui estão algumas práticas recomendadas que podem ser incluídas nesses frameworks:

                           

                           

Uma abordagem multi-camada pode ajudar as organizações a proteger os possíveis pontos de entrada no sistema (endpoint, email, web e rede). As soluções de segurança podem detectar componentes maliciosos e comportamentos suspeitos podem ajudar a proteger as empresas.

  • Trend Micro Vision One™ oferece proteção em várias camadas e detecção de comportamento, o que ajuda a bloquear comportamentos e ferramentas questionáveis antes que o ransomware possa causar danos irreversíveis ao sistema.
  • O Trend Micro Cloud One™ Workload Security protege os sistemas contra ameaças conhecidas e desconhecidas que exploram vulnerabilidades. Essa proteção é possível por meio de técnicas como correção virtual e machine learning.
  • O Trend Micro™ Deep Discovery™ Email Inspector emprega sandboxing personalizado e técnicas avançadas de análise para bloquear de forma eficaz e-mails maliciosos, incluindo e-mails de phishing que podem servir como pontos de entrada para ransomware.
  • O Trend Micro Apex One™ oferece detecção e resposta automatizadas de ameaças avançadas contra preocupações avançadas, como ameaças fileless e ransomware, garantindo a proteção de endpoints.

Indicadores de Comprometimento (IOCs)

Os indicadores reais podem variar por ataque.

Hash Detection name
0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049 Ransom.Win32.LOCKBIT.YXBHJ-T
0906a0b27f59b6db2a2451a0e0aabf292818e32ddd5404d08bf49c601a466744 Ransom.Win32.LOCKBIT.MYEBGW
21879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a58 Ransom.Win32.LOCKBIT.SMCET
4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd Ransom.Win32.LOCKBIT.YXBHC-TH
4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277 Ransom.Win32.LOCKBIT.YXBHC-TH
717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474 Ransom.Win32.LOCKBIT.YXBHC-TH
73406e0e7882addf0f810d3bc0e386fd5fd2dd441c895095f4125bb236ae7345 Ransom.Win32.LOCKBIT.SMYEBGW
95739e350d7f2aca2c609768ee72ad67fcf05efca5c7ad8df3027c82b9c454cf Ransom.Win32.LOCKBIT.O
a7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df108 Ransom.Win32.LOCKBIT.YXBHC-TH
acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c Ransom.Win32.LOCKBIT.YXBHJ-T
b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5 Ransom.Win32.LOCKBIT.SMYEBGW
bc117caad6093d463777f8c897330e46b1217619dd2cc25ce9971266bf84708c Trojan.Win32.LOCKBIT.AA
bcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621 Ransom.Win32.LOCKBIT.YXBHC-TH
ca57455fd148754bf443a2c8b06dc2a295f014b071e3990dd99916250d21bc75 Ransom.MSIL.LOCKBIT.VLC
d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78 Ransom.Win32.LOCKBIT.YABGW
d52f0647e519edcea013530a23e9e5bf871cf3bd8acb30e5c870ccc8c7b89a09 Ransom.Win32.LOCKBIT.YEBG1
dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d Ransom.Win32.LOCKBIT.YXBHC-TH
f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202 Ransom.Win32.LOCKBIT.M
Tools
28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063 PUA.Win32.ProcHack.A
98e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f4210e8df07f15 PUA.Win32.PCHunter.E
32726fa33be861472d0b26286073b49500e3fd3bd1395f63bc114746a9195efb PUA.Win64.PCHunter.C.component
7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21 Trojan.BAT.KILLPROC.D
aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f Trojan.BAT.KILLPROC.D
94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28 Trojan.BAT.KILLAV.WLDX
a398c70a2b3bf8ae8b5ceddf53fcf6daa2b68af2fadb76a8ea6e33b8bbe06f65 Trojan.BAT.KILLAV.WLDX
9bd7a1270d808c2db960bfdba2043ff795067b8d215aebeb2029cfba06167315 PUA.BAT.DHARMA.A
e05ad49bce21fa7a5c6f45327e195d04076e69fd03900b4e43cd921f4e33df2d PUA.BAT.DHARMA.A
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d TrojanSpy.Win32.STEALBIT.YXBHM
f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446 HackTool.Win32.NetTool.A

Categorias

Veja outras publicações

Menu