СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
6 января
#ИБ

LockBit 5.0: шифрование, двойное вымогательство и методы распространения

LockBit 5.0 — активная и печально известная группа программ‑вымогателей как услуг (RaaS), которая с момента появления в сентябре 2019 года занимает значимое место в экосистеме киберугроз. За счёт сочетания автоматизации распространения, сложных криптографических схем и методов эксфильтрации данных она обеспечивает злоумышленникам высокую эффективность атак и затрудняет восстановление пострадавших организаций.

Краткие факты

  • Появление: сентябрь 2019 года.
  • Модель работы: RaaS (ransomware‑as‑a‑service).
  • Доля инцидентов: ~30,25% зарегистрированных атак с августа 2021 по август 2022 и около 21% в 2023 году.
  • Последствия: миллиарды долларов убытков из‑за требований выкупа и расходов на восстановление.

Как происходит внедрение и этапы атаки

Первоначальное проникновение LockBit 5.0 в целевые среды обычно достигается с использованием нескольких методов. Наиболее распространённые методы:

  • эксплуатация известных уязвимостей (известные CVE);
  • атаки брутфорсом на удалённые сервисы;
  • фишинговые кампании;
  • использование скомпрометированных учётных данных.

После получения первоначального доступа атака обычно проходит три основных этапа:

  • перемещение внутри сети и сбор информации о среде;
  • эскалация привилегий для расширения контроля;
  • распространение полезной нагрузки и срабатывание шифрования по всей инфраструктуре.

Кроме того, группа использует инструмент Stealbit для эксфильтрации данных, что облегчает практику двойного вымогательства: шифрование файлов и параллельное требование выкупа за нераскрытие конфиденциальной информации.

«LockBit 5.0 демонстрирует передовые стратегии шифрования и методологии постоянного таргетинга, которые укрепляют его позиции как грозного противника в экосистеме программ‑вымогателей.» — из отчёта

Технологии шифрования и методы затруднения анализа

С технической стороны LockBit 5.0 применяет несколько продвинутых приёмов, направленных на усложнение обнаружения и восстановления данных:

  • остановка процессов Shadow Copy томов (VSS) — чтобы жертвы не могли восстановить файлы стандартными средствами;
  • упаковка и обфускация бинарников — усложняет статический анализ исследователями и автоматизированными инструментами;
  • современные криптографические алгоритмы: шифрование файлов с использованием ChaCha20‑Poly1305, обмен ключами через X25519 и хеширование/подписи с BLAKE2b;
  • уникальная генерация ключей: во время шифрования создаются два случайных 32‑байтовых числа (на основе системного времени и характеристик памяти). Закрытый ключ извлекается из определённых позиций этих случайных чисел, после чего формируется уникальный открытый ключ для каждой жертвы с использованием криптографии на эллиптических кривых. Финальные ключи рассчитываются на основе комбинации закрытого ключа жертвы и открытого ключа злоумышленника, что делает локальное восстановление данных невозможным без секретной информации злоумышленников.

Масштаб и последствия

Активность LockBit 5.0 привела к значительным финансовым потерям во многих секторах экономики. Высокая доля инцидентов (до 30% в отдельные периоды) и применение тактики двойного вымогательства усиливают давление на пострадавшие организации и усложняют принятие решений о восстановлении и публичном раскрытии инцидентов. Несмотря на усиление действий правоохранительных органов, группа остаётся устойчивой и продолжает представлять глобальную угрозу.

Рекомендации для организаций

Учитывая технику и тактику LockBit 5.0, аналитики и эксперты по кибербезопасности рекомендуют ряд мер по снижению риска:

  • регулярно обновлять и патчить критические системы, закрывая известные уязвимости;
  • внедрить многофакторную аутентификацию (MFA) и политику надёжных паролей;
  • ограничить удалённый доступ и контролировать доступ по принципу наименьших привилегий;
  • регулярно тестировать и изолировать резервные копии (offline/offsite backups);
  • развёртывать современные EDR/NGAV‑решения и системы мониторинга сетевого трафика для обнаружения постэксплуатационных механизмов;
  • иметь отлаженный план реагирования на инциденты и процедуры взаимодействия с правоохранительными органами и внешними IR‑командами;
  • использовать threat intelligence для отслеживания активности групп типа LockBit и оперативного обмена индикаторами компрометации (IoC).

LockBit 5.0 остаётся угрозой высокой степени опасности: комбинация автоматизации, сильной криптографии и методов эксфильтрации делает её одним из наиболее эффективных и разрушительных акторов на рынке программ‑вымогателей. Для снижения рисков организациям требуется комплексный подход к защите, включающий профилактику, быстрое обнаружение и отработанные процедуры реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: