LockBit勒索软件即服务(RaaS)团伙加强了有针对性的攻击,试图使用其恶意软件2.0版攻击智利、意大利、台湾和英国的公司,研究人员表示.根据趋势科技周一发布的分析,7月和8月的攻击使用了LockBit2.0,它具有增强的加密方法。报告称:“与LockBit2019年的攻击和功能相比,此版本包括通过滥用ActiveDirectory(AD)组策略自动加密跨Windows域的设备,促使其背后的团队声称它是市场上最快的勒索软件今天的软件变体之一。”“LockBit2.0以拥有当今勒索软件威胁格局中最快、最有效的加密方法之一而闻名。我们的分析表明,虽然它使用多线程方法进行加密,但它只对文件进行部分加密,因为每个文件只加密4KB数据的。”趋势科技指出,这些攻击还包括从目标公司内部招募内部人员。恶意软件感染过程的最后一步是将受害者的电脑墙纸变成一个有效的广告,其中包括有关组织内部人员如何参与“附属招聘”的部分信息,并承诺支付数百万美元并承诺匿名以换取凭据和访问权限。研究人员表示,新一波攻击正在采用这种策略,“似乎是为了消除(其他威胁行为者群体的)中间人,并通过提供有效凭证和对企业网络的访问来加快攻击速度”。值得注意的是,LockBit也是最近埃森哲网络攻击的罪魁祸首。LockBit2.0感染程序为了获得对目标公司网络的初始访问权限,LockBit团伙招募了上述成员和助手,他们通常通过有效的远程桌面协议(RDP)帐户凭据对目标进行物理入侵。为了解决这个问题,LockBit的创建者为他们的合作伙伴提供了一个方便的StealBit特洛伊木马变体,这是一种自动建立访问和泄露数据的工具。报告指出,一旦进入系统,LockBit2.0就会使用全套工具进行侦察。NetworkScanner评估网络结构并识别目标域控制器。它使用多个批处理文件用于不同的目的,包括终止安全工具、启用RDP连接、清除Windows事件日志以及使MicrosoftExchange、MySQL和QuickBooks等关键进程不可用。它还会停止MicrosoftExchange并禁用其他相关服务。但这还不是全部:“LockBit2.0还滥用ProcessHacker和PCHunter等合法工具来终止受害者系统上的进程和服务。”第一阶段结束后,横向运动开始。“一旦进入域控制器,勒索软件就会创建新的组策略并将它们发送到网络上的每个设备,”趋势科技研究人员解释说。“这些策略会禁用WindowsDefender并将勒索软件二进制文件分发到每台Windows计算机上执行。”这个主要的勒索软件模块继续为每个加密文件添加一个“.lockbit”后缀。然后,它在每个加密目录中放置一个勒索字条,威胁双重勒索。该字条通常告诉受害者文件已加密,并将公开发布这些文件如果他们不支付。LockBit2.0的最后一步是将受害者的桌面墙纸更改为上述招聘广告,其中还包括有关受害者将如何支付赎金的说明。LockBit的持续发展趋势科技一直在跟踪LockBit,指出其运营商最初与去年10月关闭的Maze勒索软件组织合作。Maze是双重勒索策略的先驱,首次出现于2019年11月。它发起了持续的活动,例如对Cognizant的攻击。在2020年夏天,它形成了一个网络犯罪“卡特尔”——与包括Egregor在内的各种勒索软件联手,共享代码、想法和资源。”Maze关闭后,LockBitgang继续使用他们自己的泄漏站点,这导致了LockBit的发展,”研究人员解释说。“以前的版本显示出先前存在的勒索软件的特征,这些勒索软件使用加密文件、窃取的数据和双重勒索技术,在未支付赎金时泄露窃取的数据。”LockBit2.0现在似乎受到Ryuk和Egregor的影响,可能是由于共享代码DNA。趋势科技指出的两个值得注意的例子是:局域网唤醒,受Ryuk勒索软件的启发,发送一个魔术包“0xFF0xFF0xFF0xFF0xFF0xFF”唤醒离线设备。赎金票据打印在受害者的网络打印机上,类似于Egregor用来引起受害者注意的方式。它使用WinspoolAPI在连接的打印机上枚举和打印文档。趋势科技研究人员总结道:“我们……推测该组织将在未来很长一段时间内保持活跃,特别是因为它现在正在广泛招募成员和组织内部人员,使其更有能力感染许多公司和行业。”同时,为LockBit2.0的升级和进一步开发做准备也是明智的,尤其是现在许多公司都了解它的作用和工作原理。”如何保护您的组织免受勒索软件的侵害这里是Internet安全中心和国家标准与技术研究所推荐防止LockBit2.0和其他恶意软件感染的最佳实践:审计和库存:审计组织的所有资产和数据,以识别只有特定人员才能访问的授权和未授权设备、软件和系统。审计和监控所有重大事件和事故的日志,以确定模式或行为。配置和监控:注意管理硬件和软件配置,仅在绝对必要时授予特定人员管理权限和访问权限。监控监控网络端口、协议和服务的使用情况。在防火墙和路由器等网络基础设施设备上实施安全配置,使用软件允许列表来防止恶意应用程序被执行。补丁和更新:定期漏洞评估以及操作系统和应用程序的定期或虚拟补丁。确保所有已安装的软件和应用程序都更新到最新版本。保护和恢复:实施数据保护、备份和恢复措施。在所有可用设备和平台上使用多重身份验证。保护:执行沙箱分析以检查和阻止恶意电子邮件。将最新版本的安全解决方案应用于系统的所有层,包括电子邮件、端点、Web和网络。发现攻击的早期迹象,例如系统中是否存在可疑工具,并启用高级检测技术,例如使用人工智能和机器学习的技术。培训测试:定期对全员进行安全技能考核和培训,以及红队演练和渗透测试。本文翻译自:https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/如有转载请注明出处。
