Раскрытые методы LockBit: анализ угроз и лучшие практики защиты

Крупный взлом сети LockBit раскрывает детали работы одной из самых опасных программ-вымогателей

Недавний инцидент с атакой на банду программ-вымогателей LockBit пролил свет на их внутренние механизмы и методы работы. В результате взлома партнерских панелей dark web злоумышленников были раскрыты важные данные, включая дамп базы данных MySQL, который содержит порядка 20 таблиц с деталями операций. Полученная информация помогает понять структуру их бизнес-модели и уязвимости, на которые опираются хакеры.

Детали утечки и структура данных

В открывшейся базе обнаружились:

• Таблица с биткойн-адресами — почти 60 000 записей;
• Таблица с перепиской с жертвами — более 4400 сообщений о согласовании требований выкупа.

Эти данные дают представление о масштабах и нюансах деятельности LockBit, работающей с 2019 года и развившейся до версии LockBit 3.0. Новая версия расширила возможности вредоносного ПО, позволяя атаковать платформы Windows, Linux, VMware ESXi и macOS.

Модель «программа-вымогатель как услуга» (RaaS)

Особенностью LockBit является партнерская модель работы, что соответствует концепции Ransomware-as-a-Service (RaaS). Основная команда разработчиков занимается поддержкой и совершенствованием программы-вымогателя, а аффилированные партнеры проводят атаки и делят между собой выплаты выкупа.

Основные этапы атак от LockBit включают:

• Первоначальный доступ через фишинг, использование эксплойтов и уязвимости удаленного рабочего стола (RDP);
• Перемещение по сети с помощью инструментов Mimikatz и Cobalt Strike;
• Повышение привилегий и эксфильтрация данных для реализации стратегии двойного вымогательства;
• Шифрование файлов с последующей доставкой записки с требованиями выкупа и угрозой обнародования данных при отказе.

Выкуп и криптовалютные предпочтения

По раскрытым чатам выкупы варьируются от 4000 до 150 000 долларов, что напрямую зависит от масштаба атаки и статуса жертвы. Злоумышленники предпочитают платежи в Monero из-за его повышенной анонимности, а также предлагают скидки за использование этой криптовалюты, что подчеркивает важность конфиденциальности для преступной экосистемы.

Уязвимости и используемые инструменты

Анализ утечки еще раз подтвердил постоянное использование CVE — известных уязвимостей, которые до сих пор остаются без должных исправлений. Так, в числе часто упоминаемых целей — программное обеспечение для резервного копирования Veeam и инфраструктура VMware, включая vCenter Server и ESXi. Злоумышленники активно используют эти векторы для проникновения и расширения атаки, учитывая возможность компрометации всех гипервизорных узлов одной операцией.

Также отмечаются атаки с использованием слабых учетных данных, стандартных паролей и неправильных настроек доменных контроллеров, что говорит о системных проблемах в корпоративной безопасности многих организаций.

Рекомендации и выводы для служб безопасности

Случай с LockBit служит наглядным примером, почему критически важна регулярная работа по управлению уязвимостями и комплексная защита IT-инфраструктуры, включая системы резервного копирования:

• Проактивное устранение известных уязвимостей;
• Обеспечение надежной настройки контроллеров домена и протоколов доступа;
• Мониторинг подозрительной активности и предотвращение использования инструментария, чаще всего применяемого злоумышленниками — Mimikatz, Cobalt Strike;
• Внимание к безопасности виртуализированных сред, особенно VMware продуктов;
• Внедрение политики использования криптовалют с учетом возможных рисков.

Понимание методов и целей деятельности LockBit значительно повышает готовность организаций к будущим атакам, подчеркивая необходимость комплексного подхода к кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.