Программа-вымогатель LockBit разрабатывает свою программу всего за пять минут шифрование в системах, как только он вторгается в сеть жертвы. LockBit управляется автоматизированными процессами для быстрого развертывания в сетях жертв, обнаружения ценных систем и их блокировки.
LockBit-атаки оставляют мало следов, которые впоследствии могут быть проанализированы экспертами по безопасности, поскольку вредоносных программ загружается в системную память, при этом архив файлы журнала и резервные копии, которые необходимо удалить во время выполнения.
После расследования восьми атак на более мелкие организации следователи службы безопасности Sophos смогли подключить больше компонентов, чтобы получить более четкое представление о том, как работает LockBit. В частности, в одном случае они обнаружили, что атака запускается скомпрометированным Internet Information Server, выполняющим удаленный сценарий PowerShell, вызывающим другой сценарий, встроенный в удаленный документ Google Листы. Этот сценарий подключен к командному серверу (C&C) для установки модуля PowerShell с целью добавления задняя дверь и достижение стойкости в целевой системе.
Чтобы избежать обнаружения и скрытия в журналах, злоумышленник переименовал копии PowerShell и двоичный файл для запуска приложений. Microsoft HTML (mshta.exe). Sophos назвал этот инцидент PS Переименовать атака.
Бэкдор отвечает за установку модулей атаки и выполнение сценария VBScript, который загружает и запускает второй бэкдор при перезагрузке системы. Шон Галлахер, глава отдела угроз в Sophos, сказал, что сценарии атаки также пытались обойти Окна 10 [AMSI], применяя патчи прямо к нему в памяти.
Объекты, обнаруженные в системах атак, предполагают использование скриптов на основе Постэксплуатационная структура PowerShell Empire. Целью злоумышленников было собрать информацию о сети жертв, найти ценные системы и проверить доступные решения для защиты.
Галлахер добавил, что в этих сценариях используются регулярные выражения для поиска в реестре Windows «очень специфических типов программного обеспечения для бизнеса», используемого в торговых точках или системах бухгалтерского учета.
По словам Галлахера, вредоносный код использовал программу-вымогатель LockBit только в том случае, если цели оказались очень важными.
Согласно BleepingComputer, при обнаружении ценных целей программа-вымогатель LockBit запускалась в памяти в течение пяти минут с помощью команды Windows Management Instrumentation (WMI). В этих атаках первоначальный метод взлома остается неизвестным. В отчете, опубликованном в мае компаниями по разработке решений безопасности McAfee Labs и Northwave, подробно описано, как вымогатель LockBit получил доступ к сети жертв, перебор атакует логины администратора старого сервиса VPN. За три часа зловред зашифровал около 25 серверы и 225 компьютерных систем.
Greek
Chinese (Simplified)
English
Greek
Russian