Hakeri koji stoje iza LockBit ransomware-as-a-service (RaaS) šeme iznudili su 91 milion dolara nakon stotina napada na brojne američke organizacije od 2020. godine.
To je prema zajedničkom biltenu koji su objavili Američka agencija za kibernetičku i infrastrukturnu sigurnost (CISA), Federalni istražni biro (FBI), Centar za razmjenu informacija i analizu više država (MS-ISAC) i druge partnerske vlasti iz Australije, Kanada, Francuska, Njemačka, Novi Zeland i UK-a.
“LockBit ransomware-as-a-service (RaaS) privlači podružnice da koriste LockBit za provođenje ransomware napada, što rezultuje velikom mrežom nepovezanih hakera koji provode veoma različite napade” navode agencije.
LockBit, koji je prvi put izašao na scenu krajem 2019. godine, nastavio je da bude uznemirujući i plodan, ciljajući na čak 76 žrtava samo u maju 2023. godine, prema statistikama koje je Malwarebytes podijelio prošle sedmice. Kartel povezan sa Rusijom preuzeo je odgovornost za najmanje 1.653 ransomware napada do danas.
Operacija kibernetičkog kriminala napala je široku lepezu kritičnih infrastrukturnih sektora, uključujući finansijske usluge, hranu i poljoprivredu, obrazovanje, energetiku, vladine i hitne službe, zdravstvo, proizvodnju i transport.
LockBit je do sada dobio tri značajne nadogradnje: LockBit Red (jun 2021. godine), LockBit Black (mart 2022. godine) i LockBit Green (januar 2023. godine), od kojih je posljednja zasnovana na procurelom source kodu iz sada raspuštene Conti bande.
Od tada je ransomware soj prilagođen za ciljanje Linux, VMware ESXi i Apple macOS sistema, pretvarajući ga u pretnju koja se stalno razvija. Operacija RaaS je takođe značajna po tome što plaća ljudima da tetoviraju svoje oznake i uspostavljaju prvi ikad program nagrađivanja grešaka.
Poslovni model uključuje da glavni programeri iznajmljuju svoje proizvode filijalama koje izvode stvarnu implementaciju ransomwarea i iznuđivanje. Ali u preokretu, grupa dozvoljava podružnicama da primaju otkupninu prije nego što pošalju dio glavnoj posadi.
Lanci napada koji uključuju LockBit iskoristili su nedavno otkrivene nedostatke na Fortra GoAnywhere Managed File Transfer (MFT) i PaperCut MF/NG serverima, kao i druge poznate greške u Apache Log4j2, F5 BIG-IP i BIG-IQ, i Fortinet uređajima kako bi dobili početni pristup.
Povezane kompanije takođe koriste preko tri desetine besplatnih alata i alata otvorenog koda koji omogućavaju izviđanje mreže, daljinski pristup i tunelisanje, izbacivanje kredencijala i eksfiltraciju datoteka. Utvrđeno je da upadi dodatno zloupotrebljavaju legitimni softver crvenog tima kao što su Metasploit i Cobalt Strike.
„LockBit je bio uspješan kroz svoju inovaciju i kontinuisani razvoj administrativnog panela grupe (tj. pojednostavljeno, pokaži i klikni interfejs koje čini implementaciju ransomware-a dostupnom onima sa nižim stepenom tehničkih vještina), funkcijama podrške pridruženim članicama i stalnom revizijom TTP-ovi“ navode agencije.
Razvoj dolazi nakon što je CISA izdala obavezujuću operativnu direktivu 23-02, nalažući saveznim agencijama da osiguraju mrežne uređaje poput firewall-a, rutera i prekidača koji su izloženi javnom internetu u roku od 14 dana od otkrivanja i poduzmu korake da minimizuju površinu napada.
“Prečesto su hakeri u mogućnosti da koriste mrežne uređaje kako bi dobili neograničen pristup organizacijskim mrežama, što zauzvrat dovodi do potpunog kompromisa” rekla je direktorica CISA-e Jen Easterly. “Zahtijevanje odgovarajućih kontrola i ublažavanja je važan korak u smanjenju rizika za savezno civilno preduzeće.”
Razvoj takođe prati novi savjet koji naglašava pretnje implementacijama Baseboard Management Controller-a (BMC) koje bi potencijalno mogle omogućiti hakerima da uspostave „beachhead s potencijalom izvršenja prije pokretanja“.
“Pojačani kredencijali, ažuriranja firmware-a i opcije segmentacije mreže često se zanemaruju, što dovodi do ranjivog BMC-a” napominju CISA i Američka agencija za nacionalnu sigurnost (NSA) u zajedničkom upozorenju.
“Pored toga, haker bi mogao onemogućiti sigurnosna rešenja kao što su modul pouzdane platforme (TPM) ili UEFI sigurno pokretanje, manipulisati podacima na bilo kojem spojenom mediju za pohranu, ili širiti implantate ili ometajuće instrukcije preko mrežne infrastrukture.”
Izvor: The Hacker News