LockBit 3.0 Ransomware używa Windows Defender do załadowania Cobalt Strike
LockBit Ransomware to zagrożenie w formie usługi (Ransomware as a Service – RaaS), które potrafi wykorzystać narzędzie antywirusowe Microsoft, by złośliwy kod pochodzący z programu Cobalt Strike, przedostał się do naszej infrastruktury. Aktualna wersja LockBit 3.0 przypomina funkcjonalnością inne oprogramowanie typu ransomware, takie jak BlackMatter, DarkSide czy BlackCat.
LockBit 3.0 Ransomware attack
Ostatnia wersja – LockBit 3.0, jest znana również pod swoją wewnętrzną nazwą – LockBit Black. Po infekcji szyfruje wszystkie pliki na urządzeniu ofiary. Zmienia nazwy oraz rozszerzenia zainfekowanych plików, przez co dane stają się niemożliwe do odczytu i rozpoznania. Żądanie okupu jest bardzo rozbudowane w porównaniu z innymi przykładami ransomware. Autor grozi opublikowaniem danych, jeżeli ofiara nie zapłaci okupu. Atakujący informuje również ofiarę o tym, że jej dane zostały skopiowane i wyprowadzone z systemu, a publikacja takich danych mogłaby mieć dla niej konsekwencje prawne. Haker przewiduje, że jego komunikacja z infrastrukturą TOR może zostać odcięta. Aby zapewnić ciągłą komunikację, atakujący korzysta z proxy Tor2Web, który pozwala na dostęp do sieci TOR poprzez tradycyjne przeglądarki.
Wykorzystanie narzędzia Cobalt Strike do rozpowszechnienia się LockBit 3.0
Narzędzie Cobalt Strike jest powszechnie stosowane do symulowania ataków w celu sprawdzenia odporności infrastruktury na zagrożenia. Coraz częściej hakerzy wykorzystują je w celu ataku, a stało się to przez to, że do sieci wyciekł kod źródłowy oprogramowania Cobalt Strike. Hakerzy wykorzystują to narzędzie, aby wstrzyknąć do systemu złośliwą część kodu poprzez zainfekowaną bibliotekę DLL, która ma za zadanie ją odszyfrować. W późniejszym etapie kod ten pozwala uzyskać jeszcze większy dostęp do sieci oraz pobierać i uruchamiać kolejne złośliwe pliki. Gdy atakujący uzyska już dostęp do naszej infrastruktury ma wiele możliwości, aby nam zaszkodzić. Głównym założeniem ataków ransomware jest wyłudzenie okupu od ofiary. Atakujący zdobył nasze informacje i są one dla niego zabezpieczeniem mającym zmusić ofiarę do zapłaty okupu. Nie zawsze nasze dane wyciekają do sieci, wszystko zależy od atakującego i wrażliwych danych, które wykradł.
LockBit 3.0 Ransomware wykorzystuje oprogramowanie antywirusowe Windows Defender, a dokładniej narzędzie MpCmdRun.exe , do odszyfrowywania i ładowania złośliwego kodu wygenerowanego przez Cobalt Strike. Plik ten jest używany przez aplikację Windows Defender do skanowania w poszukiwaniu złośliwego oprogramowania.
Które organizacje powinny uważać na LockBit 3.0 Ransomware?
Wszystkie organizacje powinny uważać na ten rodzaj ataku. Aktualnie nie jest znana żadna metoda, aby odszyfrować pliki, które LockBit 3.0 zaszyfrował, a publikacja naszych wrażliwych danych może nieść ze sobą poważne konsekwencje. Jak podaje BlackBerry wśród ich klientów odnotowano co najmniej 478 prób ataków przez oprogramowanie ransomware LockBit . Daje to około pięciu prób dziennie. Na dane te składają się zarówno poprzednie wersje LockBit, jak i LockBit 3.0.
Jak się bronić przed oprogramowaniem RaaS m.in. takim jak LockBit 3.0
Zespół BlackBerry rekomenduje, kilka rozwiązań, które możemy wdrożyć, aby bronić się przed atakami typu RaaS:
- nieprzerwanie monitoruj swoje endpointy i często aktualizuj oprogramowanie,
- regularnie sprawdzaj, jakie uprawnienia posiadają użytkownicy – nie powinni posiadać uprawnień, których na co dzień nie potrzebują,
- monitoruj błędne próby logowania się do systemu, zmiany haseł użytkowników oraz tworzenia nowych użytkowników,
- włącz system SOC z regułami Sigma, Suricata i Yara. Zadbaj o dobre monitorowanie,
- szukaj niepożądanych zachowań w swoim systemie. Działaj prewencyjnie.
- spraw, aby wszystkie zasoby w sieci były dobrze widoczne i łatwe do zarządzania,
- zadbaj o “przejrzystość” danych, co ułatwi filtrowanie ruchu wychodzącego z sieci,
- zaimplementuj niezawodny system backupu w swojej infrastrukturze, pamiętając, by był on wydzielony od głównej sieci, co uniemożliwi jego zaszyfrowanie w trakcie ataku,
- zainteresuj się jak działa LockBit (taktyki, techniki, procedury, z których korzysta) i sprawdzaj, czy twoja infrastruktura jest podatna na takie ataki.
Rozwiązania BlackBerry zatrzymują ataki LockBit 3.0 oraz Cobalt Strike
Użytkownicy, którzy korzystają z CylancePROTECT są chronieni przed tego typu atakami.
Do walki ze złośliwym oprogramowaniem, BlackBerry rekomenduje korzystanie z narzędzia opartego na sztucznej inteligencji oraz uczeniu maszynowym, który nieustannie testuje miliony plików zarówno tych bezpiecznych jak i szkodliwych dla użytkownika. Cylance AI automatycznie blokuje oprogramowanie LockBit 3.0 na podstawie podejrzanego zachowania oraz analizy plików. Nie polega na sygnaturach, przez co jest on bardziej skuteczny przeciwko atakom typu zero-day.
O CylancePROTECT
CylancePROTECT endpoint protection platform (EPP) bazujący na modelu AI siódmej generacji, polega na zaawansowanym uczeniu maszynowym, aby chronić nas przed atakami typu zero-day i innymi atakami na naszą infrastrukturę.
O CylanceGUARD
CylanceGUARD to narzędzie typu extended detection and response (XDR) bazujące na subskrypcji. Eksperci BlackBerry nieustannie monitorują zachowanie Twoich endpointów wdrażając koniecznie rozwiązania w celu zapewnienia możliwie najlepszej ochrony, przy jak najmniejszej liczbie fałszywych alertów.
