LockBit 2.0 atakuje globalnie. Na celowniku Chile, Włochy, Tajwan i Wielka Brytania

Ransomware to złośliwe oprogramowanie (malware), które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. W prawidłowo przeprowadzonym ataku, przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

Z danych opracowanych przez zajmującą się cyberbezpieczeństwem firmę SonicWall wynika, że skala ataków ransomware rośnie dynamicznie na całym świecie.

W pierwszej połowie 2021 roku zanotowano globalnie 304,7 mln przypadków. To oznacza, że w ciągu minionego półrocza liczba ataków przekroczyła tę z całego 2020 roku, gdy incydentów typu ransomware było 304,6 mln. Według analityków podane liczby oznaczają wzrost aktywności ransomware o 151 proc.

LockBit 2.0 rozlewa się na świat

Niedawno pojawiły się informacje o tym, że w Australii zanotowano w ostatnich tygodniach lawinowy wzrost ataków typu ransomware. Grupa hakerów wykorzystuje złośliwe oprogramowanie LockBit 2.0, szyfruje dane w australijskich organizacjach i korporacjach oraz żąda okupu w zamian za odblokowanie zasobów.

Teraz pojawiły się kolejne niepokojące doniesienia na temat LockBit 2.0 pochodzące od firmy Trend Micro. Zgodnie z nimi grupy wykorzystujące ten kod nasiliły swoje ataki ukierunkowane w Chile, Włochy, na Tajwan i Wielką Brytanię.

„W przeciwieństwie do ataków i funkcji LockBit z 2019 r., obecna wersja obejmuje automatyczne szyfrowanie urządzeń w domenach Windows poprzez nadużywanie zasad grupowych Active Directory (AD), co skłoniło stojącą za nim grupę do twierdzenia, że jest to jeden z najszybszych wariantów ransomware na dzisiejszym rynku” - czytamy w raporcie Trend Micro. „LockBit 2.0 szczyci się posiadaniem jednej z najszybszych i najbardziej efektywnych metod szyfrowania w obecnym krajobrazie zagrożeń ransomware. Nasza analiza pokazuje, że chociaż kod wykorzystuje wielowątkowe podejście w szyfrowaniu, to tylko częściowo blokuje dane, ponieważ jedynie 4 KB informacji są szyfrowane na jeden plik” - wskazują specjaliści.

Wielowątkowe ataki

Jak zauważa Trend Micro, celem ataków jest również rekrutacja osób mających dostęp do informacji poufnych w firmach. Ważnym etapem infekcji jest zmiana tapety na komputerze ofiary na taką, która wygląda jak reklama, z informacją o tym, jak osoby wewnątrz organizacji mogą stać się częścią „rekrutacji partnerskiej”, z gwarantowanymi wypłatami w wysokości milionów dolarów i anonimowością w zamian za dane uwierzytelniające i dostęp do wewnętrznej sieci firmowej.

W celu uzyskania wstępnego dostępu do sieci korporacyjnej, grupy LockBit rekrutują współpracowników i pomocników, którzy dokonują faktycznego włamania na cele, zazwyczaj za pośrednictwem ważnych danych uwierzytelniających konta protokołu zdalnego pulpitu (RDP). Twórcy LockBita udostępniają swoim partnerom poręczny wariant trojana StealBit, który jest narzędziem umożliwiającym uzyskanie dostępu i automatyczne wyprowadzenie danych na zewnątrz.

W raporcie zwrócono uwagę na to, że LockBit 2.0, gdy już znajdzie się w systemie, wykorzystuje cały wachlarz narzędzi zmierzających do celu. Skaner sieciowy dokonuje inwentaryzacji struktury sieci i identyfikuje docelowe kontrolery domeny.

LockBit 2.0 wykorzystuje również wiele plików wsadowych przeznaczonych do różnych celów, w tym do wyłączenia narzędzi bezpieczeństwa, umożliwienia połączeń RDP, wyczyszczenia dzienników zdarzeń systemu Windows oraz upewnienia się, że kluczowe procesy, takie jak Microsoft Exchange, MySQL i QuickBooks, są niedostępne.

Na razie nie pojawiły się żadne doniesienia o tym, czy LockBit 2.0 dotarł do Polski i czy firmy funkcjonujące na naszym rynku zostały dotknięte tego typu atakami.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.