Nilaa Maharjan, Logpoint Global Services & Security Research

Sammenfatning:

  • LockBit har været impliceret som den mest aktive ransomware og har været involveret i de fleste angreb sammenlignet med andre af sin slags.
  • LockBit blev lanceret i september 2019 og fungerede som ransomware-as-a-service (RaaS).
  • Siden da har den udviklet sig til LockBit2.0, som en variant af det originale LockBit ransomware-bande.
    • I denne periode startede banden en model med dobbelt afpresning.
  • I øjeblikket kører ransomware-banden som LockBit3.0 eller LockBit Black og er aktivt målrettet mod flere sektorer, oftest bankvirksomhed, finansielle tjenester og forsikring (BFSI).
  • LockBit deler adfærd med MegaCortex og LockerGoga. Den er selvspredende, målrettet og bruger lignende værktøjer.
  • Den største sag med LockBit ramte Accenture i august 2021, hvor de stjal 6 terabyte data og krævede $50 millioner i løsepenge.
  • LockBit 3.0 offentliggjorde sit eget bug bounty-program for at få både sikkerhedsforskere og hackere til at finde fejl i deres projekter og infrastruktur, der hostes på dark web.

Hvad er LockBit?

LockBit, tidligere kendt som “ABCD” ransomware på grund af konvertering af krypterede filer til “.abcd”-udvidelsen, er en ransomware-as-a-service (RaaS) malware. Trusselaktørerne har opdateret denne ransomwares funktioner og evner, siden den første gang blev opdaget i september 2019. Den reklamerede også for sig selv som den hurtigste ransomware til kryptering af filer. Den deler nogle ligheder med Darkside/black matter ransomware, bruger adgangskoder til at køre som blackcat/aplhv, og menes at være en del af LockerGoga & MegaCortex-familien.

LockBits familie af ransomware er kendt for at være selvspredende, men er alligevel blevet fundet målrettet mod specifikke virksomheder, der er i stand til at betale en stor løsesum.

Billede, der viser skrivebordsbaggrund, efter at krypteringsprocessen er fuldført

LockBits skabere giver adgang til ransomwareprogrammet og dets infrastruktur til tredjepartshackere, der er kendt som “affiliates”, som bryder ind i netværk og installerer det på systemer mod til gengæld at få op til 75 % af den løsesum, der betales af ofrene. LockBit anvender ligesom de fleste andre lignende RaaS-bander taktikker til dobbelt afpresning, hvor deres “associates” udtrækker data fra offerorganisationer og truer med at afsløre dem online.

Ifølge en undersøgelse foretaget af leverandøren af ransomware hændelsesrespons Coveware var LockBit ansvarlig for 15 % af de ransomware-angreb, der blev set i første kvartal af 2022, kun overgået af Conti med 16 %. Ifølge en nyere vurdering var LockBit ansvarlig for 40 % af de ransomware-angreb, som NCC-koncernen oplevede i maj, efterfulgt af Conti.

Mens det samlede antal ransomware-hændelser er faldet i løbet af de seneste måneder, er det sandsynligt, at den procentdel, som LockBit tegner sig for, vil stige, dels fordi Contis operation menes at være lukket ned eller splintret i mindre grupper, og dels fordi LockBit forsøger at tiltrække flere “affiliates” ved at hævde at tilbyde bedre vilkår end konkurrenterne.

Oprindelse og udvikling

LockBit har udviklet sig fra ABCD’s spæde begyndelse. Programmet RaaS affiliate blev lanceret i starten af 2020, efterfulgt af datalækagesitet og tilføjelsen af datalækageafpresning senere samme år.

I løbet af sit første år var LockBit stadig en mindre deltager, og andre højt profilerede bander – Ryuk, REvil, Maze og andre – var mere succesrige og i søgelyset. Med frigivelsen af LockBit 2.0 og efter at nogle af de andre bander lukkede deres aktiviteter på grund af for stort pres, fik LockBit ransomwaren fodfæste i anden halvdel af 2021.

Ifølge forskere fra Palo Alto Networks’ Unit 42 var LockBit 2.0 “den mest virkningsfulde og udbredte ransomware-variant, vi har observeret i alle ransomware-brud i løbet af første kvartal 2022, hvor både lækagestedsdata og data fra sager fra Unit 42-hændelsesrespondenter blev taget i betragtning.” Koncernens LockBit 2.0-websted, som bruges til at offentliggøre data fra virksomheder, hvis netværk den har infiltreret, nævner 850 ofre, men banden hævder at have krævet løsesum af over 12.125 firmaer indtil videre.

Gruppen hævder også, at LockBit 2.0 ransomwaren har den hurtigste krypteringsprocedure, hvilket ifølge Splunk-forskere kun er delvist sandt. LockBit 1.0 og ransomwareprogrammet PwndLocker ser ud til at være hurtigere end LockBit 2.0, men krypteringsprocessen er stadig ret hurtig, blandt andet fordi disse trusler bruger delvis kryptering. LockBit 2.0 krypterer f.eks. kun de første 4 KB af hver fil, hvilket gør den ulæselig og ubrugelig, samtidig med at angrebet kan afsluttes hurtigt, før hændelsesrespondenterne har tid til at lukke systemerne ned og isolere dem fra netværket.

Forskere har fundet forbindelser mellem den nuværende LockBit ransomware-variant og BlackMatter, en rebrandet form af DarkSide ransomware-stammen, der lukkede ned i november 2021.

LockBit 3.0, også kendt som LockBit Black, blev lanceret i juni 2022, herunder et nyt lækagesite og verdens første ransomware bug bounty-program med Zcash kryptovaluta som betalingsmulighed.

Den krypterer hver fil ved at vedhæfte filtypenavnet “HLJkNskOq” eller “19MqZqZ0s” og ændrer ikonerne for de låste filer til den “.ico”-fil, som LockBit-prøven har sendt for at starte infektionen.

Hvem retter LockBit sig imod?

Ifølge BlackFogs seneste “Ransomware Trend Report”er der fornyet fokus på svagere mål, såsom uddannelsesinstitutioner (33 % stigning), myndigheder (25 % stigning) og produktionsvirksomheder (24 % stigning).

Angreb i juni på University of Pisa (som betalte $4,5 millioner i løsepenge), Brooks County i Texas (som betalte $37.000 i løsepenge med skattepenge) og Cape Cod Regional Transit Authority beviser alle dette.

I alt 31 offentligt offentliggjorte ransomware-hændelser blev registreret af BlackFog i juni.

Matt Hull, NCC-koncernens globale leder inden for strategisk threat intelligence, pegede endelig på “større ændringer” i trusselslandskabet for ransomware og tilføjede, at “det er tydeligt, at vi befinder os i en overgangsfase.”

“Det er et landskab i konstant forandring, der hele tiden skal evalueres,” sagde han.

Ifølge data fra LockBits websted for datalækage var næsten halvdelen af de ramte organisationer fra USA efterfulgt af Italien, Tyskland, Canada, Frankrig og Storbritannien. Ifølge medlemmet af LockBit-banden fra det foregående interview, skyldes koncentrationen om nordamerikanske og europæiske virksomheder en større forekomst af cyberforsikring samt en højere fortjeneste i disse regioner. Professionelle og juridiske tjenesteydelser, byggeri, forbundsregeringen, fast ejendom, detailhandel, højteknologi og produktion har været de mest påvirkede brancher. Malwaren omfatter også kode, der forhindrer den i at blive udført på pc’er, der er konfigureret med østeuropæiske sprogindstillinger.

Baseret på tweets fra @VX-underground Twitter bot @RansomwareNews fra 17. maj til 22. september udgjorde LockBit dobbelt så meget som sin nærmeste konkurrent, BlackBastaa, Aplhv/BlackCat, Hiveleak og clop.

Det skal også bemærkes, at LockBit-teamet har oprettet en separat malware-applikation kaldet StealBit, der kan bruges til at automatisere dataudtrækning. Dette værktøj uploader dataene direkte til LockBits servere i stedet for at bruge offentlige filhostingwebsteder, hvilket kan slette dataene som reaktion på klager fra ofrene. Gruppen har også oprettet LockBit Linux-ESXi Locker, som kan kryptere Linux-servere og VMware ESXi virtuelle maskiner.

LockBit-angribere tilbragte omkring 70 dage i et netværk, før de udgav ransomwaren i 4. kvartal 2021, 35 dage i 1. kvartal 2022 og færre end 20 dage i 2. kvartal 2022. Det betyder, at virksomheder har mindre tid til at opdage netværksangreb i deres tidlige stadier og forhindre udrulning af ransomware. Ifølge Palo Alto Networks er angribernes villighed til at forhandle og mindske løsesummen også faldet. Sidste år var angriberne villige til at reducere løsesummen med mere end 80 %, men lige nu kan ofrene måske kun forvente et prisfald på 30 % i gennemsnit.

LockBit-funktioner

Efter at have fået den første adgang til netværk udruller LockBit “affiliates” forskellige værktøjer til at udvide deres adgang til andre systemer. Disse værktøjer omfatter legitimationsdumpere som Mimikatz,rettighedseskaleringsværktøjer som ProxyShell, værktøjer, der bruges til at deaktivere sikkerhedsprodukter og forskellige processer som GMER, PC Hunter og Process Hacker, netværks- og portscannere til at identificere aktive biblioteksdomænecontrollere, fjernudførelsesværktøjer som PsExec eller Cobalt Strike til lateral movement. Aktiviteten involverer også brugen af slørede PowerShell- og batchscripts og ureglementerede planlagte opgaver for persistens.

Når LockBit ransomware er installeret, kan den også spredes til andre systemer via SMB-forbindelser ved hjælp af indsamlede akkreditiver samt ved hjælp af Active Directory-gruppepolitikker. Når den udføres, deaktiverer ransomwaren kopiering af Windows volume shadow og sletter forskellige system- og sikkerhedslogfiler.

Malwaren indsamler derefter systemoplysninger som f.eks. værtsnavn, domæneoplysninger, konfiguration af lokal drev, fjerndeling og monterede lagringsenheder, hvorefter den begynder at kryptere alle data på de lokale og eksterne enheder, den kan få adgang til. Når alle filerne er krypteret, ændrer LockBit også filens ikon med deres ikon.

Når registreringsdatabaseposten er oprettet, indlæses ikonet fra “C:\ProgramData” i registreringsdatabaseværdien. Når krypteringsprocessen for en fil er gennemført, ændres ikonerne for filer til ikonet i ovennævnte registreringsdatabasenøgle.

Den springer dog filer over, som ville forhindre systemet i at fungere. I sidste ende lægger den en seddel med krav om løsepenge ved at ændre brugerens skrivebordsbaggrund med oplysninger om, hvordan man kontakter angriberne.

Vi går i dybden med, hvordan trusselaktørerne har fungeret, og de taktikker, teknikker og procedurer (TTP’er), de har anvendt gennem statisk og dynamisk analyse i rapporten, der er vedhæftet nedenfor. Vi har fundet flere filer, domæner og botnet-netværk, der stadig er aktive derude. Alle artefakter leveres som lister, og de tilknyttede alarmer kan downloades som en del af Logpoints seneste version samt via Logpoints downloadcenter.

Logpoint Emerging Threats Protection Service giver serviceabonnenterne tilpassede undersøgelses- og reaktionsplaybooks, der er skræddersyet til deres miljø. Kontakt det globale serviceteam her.

Rapporten med analyse, infektionskæde, detektion og afhjælpning ved hjælp af Logpoints SIEM og SOAR kan downloades fra linket nedenfor.

Download rapport

Download report

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint