A CISA figyelmeztetést adott ki a LockBit ransomware új verziójáról

A 2020 januárjában feltűnt Ransomware-as-a-Service (RaaS) kiberbűnözői modellben működő LockBit változatos támadási technikákkal és módszerekkel (TTP), vállalkozások széles körére nézve jelent fenyegetést ─ figyelmeztet a CISA, az FBI és az MS-ISAC közös riasztásukban.

A Lockbit legújabb változata, a Lockbit 3.0 (vagy más néven LockBit Black) a korábbi verziókhoz képest szofisztikáltabb vezérlésű és számos olyan megoldást támogat, amelyek telepítése módosítják a káros szoftver működését. Az elemzések során például kiderült, hogy a LockBit 3.0 telepítője titkosított, így az csak jelszó megadásával hajtható végre, továbbá támogatja az oldalirányú mozgást, képes csökkentett módban újraindítani a rendszert, valamint nyelvellenőrzést végez, hogy elkerülje bizonyos nyelvi beállításokat (pl.: arab, román, orosz, stb.) használó rendszerek megfertőzését.

A LockBit támadások esetében a kezdeti fertőzés leggyakrabban

  • az Internet irányából elérhető távmenedzsment szolgáltatás (pl.: RDP) [T1133] vagy webes alkalmazások [T1566] útján;
  • valamint a felhazsnálókat célzó káros weboldalak (drive-by-download) [T1189] és adathalász üzenetek [T1566] útján történik.

A riasztásban LockBit fertőzésre utaló indikátorok (IoC) is találhatók, emellett a CISA megelőző intézkedésekre is javaslatot tesz.

Ezek között kiemelten fontos:

  • Az ismert módon kihasznált sérülékenységek mielőbbi patchelése;
  • a szervezetek munkatársainak képzése az adathalász támadások felismeréséhez;
  • a kétfaktoros hitelesítési eljárások minél szélesebb körű bevezetése és alkalmazásának kikényszerítése a munkatársak részéről.

(securityweek.com)