ФБР делится техническими подробностями программы-вымогателя Lockbit и советами по защите

Новый скрытый вариант вредоносной программы BotenaGo нацелен на устройства DVR.

Федеральное бюро расследований (ФБР) опубликовало технические детали и индикаторы компрометации, связанные с атаками программ-вымогателей LockBit, в новом оперативном предупреждении, опубликованном в эту пятницу.

Он также предоставил информацию, чтобы помочь организациям блокировать попытки этого злоумышленника проникнуть в их сети, и попросил жертв срочно сообщать о таких инцидентах в местный киберотдел ФБР.

Банда вымогателей LockBit была очень активна с сентября 2019 года, когда она была запущена как программа-вымогатель как услуга (RaaS). шифровать сети.

Два года спустя, в июне 2021 года, LockBit анонсировала LockBit 2.0 RaaS на своем сайте утечки данных после того, как злоумышленникам-вымогателям запретили публиковать сообщения на форумах киберпреступников [ 1 , 2 ].

С перезапуском банда вымогателей изменила дизайн сайтов Tor и переработала вредоносное ПО, добавив более продвинутые функции, включая автоматическое шифрование устройств в доменах Windows с помощью групповых политик Active Directory.

Банда теперь также пытается устранить посредников , вербуя инсайдеров, чтобы предоставить им доступ к корпоративным сетям через виртуальную частную сеть (VPN) и протокол удаленного рабочего стола (RDP).

В январе было обнаружено, что LockBit также добавила в свой инструментарий шифровальщик Linux, предназначенный для серверов VMware ESXi.

Среди технических подробностей о том, как работает программа-вымогатель LockBit, ФБР также сообщило, что вредоносная программа поставляется со скрытым окном отладки, которое можно активировать в процессе заражения с помощью сочетания клавиш SHIFT + F1.

Как только он появится, его можно использовать для просмотра информации о процессе шифрования в режиме реального времени и отслеживания статуса уничтожения пользовательских данных.

Рекомендации на этой неделе последовали за предупреждением, выпущенным австралийским агентством кибербезопасности в августе 2021 года, с предупреждением о быстрой эскалации атак программ-вымогателей LockBit .

Несколько дней спустя Accenture, компания из списка Fortune 500 и одна из крупнейших в мире ИТ-услуг и консалтинговых фирм, подтвердила BleepingComputer, что она была взломана после того, как LockBit пригрозил утечкой данных, украденных из ее сети, и потребовал выкуп в размере 50 миллионов долларов.

Два месяца спустя Accenture также сообщила об утечке данных в документах SEC за октябрь после «извлечения конфиденциальной информации» во время августовской атаки.

Компании попросили сообщить об атаках программ-вымогателей LockBit

Хотя ФБР не сообщило, что вызвало это экстренное оповещение, оно попросило администраторов и специалистов по кибербезопасности поделиться информацией об атаках LockBit, нацеленных на сети их компаний.

«ФБР ищет любую информацию, которая может быть передана, [включая] пограничные журналы, показывающие связь с иностранными IP-адресами и с них, образец записки о выкупе, сообщения с злоумышленниками, информацию о биткойн-кошельке, файл дешифратора и / или доброкачественный образец зашифрованного файла», — говорится в сообщении федерального агентства .

«ФБР призывает получателей этого документа сообщать информацию о подозрительной или преступной деятельности в местное отделение ФБР.

«Сообщая любую связанную информацию киберотрядам ФБР, вы помогаете обмениваться информацией, которая позволяет ФБР отслеживать злоумышленников и координировать свои действия с частным сектором и правительством США для предотвращения будущих вторжений и атак».

Как защитить свою сеть

ФБР также предоставляет меры по смягчению последствий, которые помогут защитникам защитить свои сети от попыток атак программ-вымогателей LockBit:

  • Требовать, чтобы все учетные записи с паролем (например, учетная запись службы, учетная запись администратора и учетная запись администратора домена) имели надежные уникальные пароли.
  • Насколько это возможно, требовать многофакторной аутентификации для всех служб.
  • Поддерживайте все операционные системы и программное обеспечение в актуальном состоянии
  • Удалите ненужный доступ к административным общим ресурсам
  • Используйте брандмауэр на основе хоста, чтобы разрешать подключения к административным общим ресурсам через блок сообщений сервера (SMB) только с ограниченного набора компьютеров администратора.
  • Включите защищенные файлы в операционной системе Windows, чтобы предотвратить несанкционированное изменение важных файлов.

Администраторы также могут помешать операторам программ-вымогателей обнаружить сети, приняв следующие меры:

  • Сегментируйте сети, чтобы предотвратить распространение программ-вымогателей
  • Идентифицируйте, обнаруживайте и исследуйте аномальную активность и потенциальный обход указанной программы-вымогателя с помощью инструмента сетевого мониторинга.
  • Реализовать повременной доступ для учетных записей, установленных на уровне администратора и выше.
  • Отключить действия и разрешения командной строки и сценариев
  • Поддерживайте автономные резервные копии данных и регулярно выполняйте резервное копирование и восстановление
  • Убедитесь, что все данные резервного копирования зашифрованы, неизменны и охватывают всю инфраструктуру данных организации.

Платить выкуп не одобряется, но…

ФБР также добавило, что оно не поощряет выплату выкупа и советует компаниям не делать этого, поскольку не гарантируется, что выплата защитит их от будущих атак или утечек данных.

Более того, удовлетворение требований групп вымогателей дополнительно финансирует их операции и побуждает их нацеливаться на большее количество жертв. Это также побуждает другие группы киберпреступников присоединиться к ним в проведении незаконной деятельности.

Несмотря на это, ФБР признало, что последствия атаки программ-вымогателей могут заставить компании задуматься о выплате выкупа для защиты акционеров, клиентов или сотрудников. Правоохранительные органы настоятельно рекомендуют сообщать о таких инцидентах в  местное отделение ФБР.

Даже после выплаты выкупа ФБР по-прежнему призывает незамедлительно сообщать об инцидентах с программами-вымогателями, поскольку это предоставит критически важную информацию, которая позволит правоохранительным органам предотвратить будущие атаки, отслеживая злоумышленников и привлекая их к ответственности за свои действия.

Последнее обновление 05.01.2023