Aktéři hrozeb stojící za schématem LockBit ransomware-as-a-service (RaaS) vymohli od roku 2020 91 milionů dolarů po stovkách útoků proti četným americkým organizacím.

Vyplývá to ze společného bulletinu zveřejněného americkou Agenturou pro kybernetickou bezpečnost a bezpečnost (CISA), Federálním úřadem pro vyšetřování (FBI), Střediskem pro sdílení a analýzu více států (MS-ISAC) a dalšími partnerskými úřady z Austrálie, Kanady, Francie, Německa, Nového Zélandu a Spojeného království.

„LockBit ransomware-as-a-service (RaaS) přitahuje přidružené společnosti, aby využívaly LockBit k provádění ransomwarových útoků, což má za následek rozsáhlou síť vzájemně nepropojených aktérů hrozeb provádějících velmi různé útoky,“ uvedly agentury.

LockBit, který poprvé vtrhl na scénu koncem roku 2019, je i nadále rušivý a plodný a pouze v květnu 2023 se zaměřoval na 76 obětí, podle statistik sdílených společností Malwarebytes. Kartel napojený na Rusko se k dnešnímu dni přihlásil k odpovědnosti za nejméně 1653 ransomwarových útoků.

Zločinecká operace zaútočila na širokou škálu sektorů kritické infrastruktury, včetně finančních služeb, potravinářství a zemědělství, školství, energetiky, vládních a záchranných služeb, zdravotnictví, výroby a dopravy.

LockBit zatím obdržel tři podstatné aktualizace: LockBit Red (červen 2021), LockBit Black (březen 2022) a LockBit Green (leden 2023), z nichž poslední je založena na uniklém zdrojovém kódu od nyní již rozpuštěného gangu Conti.

Kmen ransomwaru byl od té doby přizpůsoben tak, aby cílil na systémy Linux, VMware ESXi a Apple macOS, čímž se stal neustále se vyvíjející hrozbou. Operace RaaS je také pozoruhodná tím, že platí lidem, aby si nechali vytetovat její insignie, a zavedla vůbec první program odměn za chyby.

Obchodní model spočívá v tom, že hlavní vývojáři pronajímají svůj warez přidruženým společnostem, které provádějí skutečné nasazení a vydírání ransomwaru.

Útočné řetězce zahrnující LockBit využily nedávno odhalené chyby na serverech Fortra GoAnywhere Managed File Transfer (MFT) a PaperCut MF/NG a také další známé chyby v zařízeních Apache Log4j2, F5 BIG-IP a BIG-IQ a Fortinet k získání počátečního přístupu.

Přidružené společnosti také používají více než tři desítky freewarových a open-source nástrojů, které umožňují průzkum sítě, vzdálený přístup a tunelování, ukládání přihlašovacích údajů a exfiltraci souborů. Bylo zjištěno, že tyto průniky dále zneužívají legitimní software červeného týmu, jako je Metasploit a Cobalt Strike.

„LockBit byl úspěšný díky své inovaci a neustálému vývoji administrativního panelu skupiny (tj. zjednodušeného rozhraní typu point-and-click, které zpřístupňuje nasazení ransomwaru osobám s nižším stupněm technických dovedností), funkcím přidruženým k podpoře a neustálým revizím TTP,“ uvedly agentury.

Zdroj: thehackernews.com