A 2020 januárjában feltűnt Ransomware-as-a-Service (RaaS) kiberbűnözői modellben működő LockBit változatos támadási technikákkal és módszerekkel (TTP), vállalkozások széles körére nézve jelent fenyegetést ─ figyelmeztet a CISA, az FBI és az MS-ISAC közös riasztásukban.
A Lockbit legújabb változata, a Lockbit 3.0 (vagy más néven LockBit Black) a korábbi verziókhoz képest szofisztikáltabb vezérlésű és számos olyan megoldást támogat, amelyek telepítése módosítják a káros szoftver működését. Az elemzések során például kiderült, hogy a LockBit 3.0 telepítője titkosított, így az csak jelszó megadásával hajtható végre, továbbá támogatja az oldalirányú mozgást, képes csökkentett módban újraindítani a rendszert, valamint nyelvellenőrzést végez, hogy elkerülje bizonyos nyelvi beállításokat (pl.: arab, román, orosz, stb.) használó rendszerek megfertőzését.
A LockBit támadások esetében a kezdeti fertőzés leggyakrabban
- az Internet irányából elérhető távmenedzsment szolgáltatás (pl.: RDP) [T1133] vagy webes alkalmazások [T1566] útján;
- valamint a felhazsnálókat célzó káros weboldalak (drive-by-download) [T1189] és adathalász üzenetek [T1566] útján történik.
A riasztásban LockBit fertőzésre utaló indikátorok (IoC) is találhatók, emellett a CISA megelőző intézkedésekre is javaslatot tesz.
Ezek között kiemelten fontos:
- Az ismert módon kihasznált sérülékenységek mielőbbi patchelése;
- a szervezetek munkatársainak képzése az adathalász támadások felismeréséhez;
- a kétfaktoros hitelesítési eljárások minél szélesebb körű bevezetése és alkalmazásának kikényszerítése a munkatársak részéről.
