Các cơ quan chính phủ Hoa Kỳ đã công bố một tư vấn chung về an ninh mạng nêu chi tiết các chỉ số xâm phạm (IoC) và chiến thuật, kỹ thuật và quy trình (TTP) liên quan đến ransomware LockBit 3.0 khét tiếng.
“Các hoạt động của ransomware LockBit 3.0 hoạt động như một mô hình Ransomware-as-a-Service (RaaS) và là sự tiếp nối của các phiên bản ransomware trước đó, LockBit 2.0 và LockBit,” các nhà chức trách cho biết.
Kể từ khi xuất hiện vào cuối năm 2019, những kẻ tấn công LockBit đã đầu tư những nỗ lực kỹ thuật đáng kể để phát triển và tinh chỉnh phần mềm độc hại của nó, phát hành hai bản cập nhật lớn — LockBit 2.0, phát hành vào giữa năm 2021 và LockBit 3.0, phát hành vào tháng 6 năm 2022. Hai phiên bản này là còn được gọi là LockBit Red và LockBit Black, tương ứng.
“LockBit 3.0 chấp nhận các đối số bổ sung cho các hoạt động cụ thể trong chuyển động ngang và khởi động lại vào Chế độ an toàn”, theo cảnh báo. “Nếu một chi nhánh của LockBit không có quyền truy cập vào ransomware LockBit 3.0 không cần mật khẩu, thì đối số mật khẩu là bắt buộc trong quá trình thực thi ransomware.”
Phần mềm tống tiền cũng được thiết kế để chỉ lây nhiễm cho những máy có cài đặt ngôn ngữ không trùng lặp với cài đặt ngôn ngữ được chỉ định trong danh sách loại trừ, bao gồm tiếng Rumani (Moldova), tiếng Ả Rập (Syria) và tiếng Tatar (Nga).
Quyền truy cập ban đầu vào mạng nạn nhân có được thông qua khai thác giao thức máy tính từ xa (RDP), xâm nhập theo từng bước, chiến dịch lừa đảo, lạm dụng tài khoản hợp lệ và vũ khí hóa các ứng dụng công khai.
Sau khi tìm thấy điểm xâm nhập thành công, phần mềm độc hại sẽ thực hiện các bước để thiết lập tính bền vững, nâng cấp đặc quyền, thực hiện chuyển động ngang và xóa các tệp nhật ký, tệp trong thư mục Thùng rác của Windows và các bản sao ẩn trước khi bắt đầu quy trình mã hóa.
“Các chi nhánh của LockBit đã được quan sát bằng cách sử dụng nhiều công cụ nguồn mở và phần mềm miễn phí khác nhau trong quá trình xâm nhập của họ,” các cơ quan cho biết. “Những công cụ này được sử dụng cho một loạt các hoạt động như trinh sát mạng, truy cập và tạo đường hầm từ xa, kết xuất thông tin xác thực và lọc tệp.”
Một đặc điểm xác định của các cuộc tấn công là việc sử dụng một công cụ lọc tùy chỉnh được gọi là StealBit, mà nhóm LockBit cung cấp cho các chi nhánh nhằm mục đích tống tiền kép.
Đáng chú ý, băng nhóm ransomware đã hứng chịu một đòn giáng mạnh vào cuối tháng 9 năm 2022 khi một nhà phát triển LockBit bất mãn đã phát hành mã trình xây dựng cho LockBit 3.0, làm dấy lên lo ngại rằng những kẻ tội phạm khác có thể lợi dụng tình hình và tạo ra các biến thể của riêng chúng.
Vào tháng 11, Bộ Tư pháp Hoa Kỳ đã báo cáo rằng chủng mã độc tống tiền LockBit đã được sử dụng để chống lại ít nhất 1.000 nạn nhân trên toàn thế giới, thu về hơn 100 triệu USD lợi nhuận bất chính cho hoạt động này.
Công ty an ninh mạng công nghiệp Dragos, vào đầu năm nay, đã tiết lộ rằng LockBit 3.0 chịu trách nhiệm cho 21% trong số 189 cuộc tấn công ransomware được phát hiện nhằm vào cơ sở hạ tầng quan trọng trong quý 4 năm 2022, chiếm 40 sự cố. Phần lớn các cuộc tấn công đó đã ảnh hưởng đến lĩnh vực thực phẩm và đồ uống và sản xuất.
Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI, trong Báo cáo tội phạm Internet mới nhất, đã liệt kê LockBit (149), BlackCat (114) và Hive (87) là ba biến thể ransomware hàng đầu đang trở thành nạn nhân của cơ sở hạ tầng quan trọng vào năm 2022.
Lời khuyên này được đưa ra khi nhóm ransomware BianLian đã chuyển trọng tâm từ việc mã hóa các tệp của nạn nhân sang các cuộc tấn công tống tiền nhằm đánh cắp dữ liệu thuần túy, vài tháng sau khi công ty an ninh mạng Avast phát hành bộ giải mã miễn phí vào tháng 1 năm 2023.
Trong một diễn biến liên quan, Kaspersky đã công bố bộ giải mã miễn phí giúp các nạn nhân bị khóa dữ liệu bởi một phiên bản ransomware dựa trên mã nguồn Conti bị rò rỉ sau cuộc xâm lược của Nga vào Ukraine năm ngoái dẫn đến xích mích nội bộ giữa các thành viên cốt cán.
Intel 471 đã lưu ý vào năm ngoái: “Với sự tinh vi của các biến thể ransomware LockBit 3.0 và Conti, thật dễ dàng để quên rằng mọi người đang điều hành các doanh nghiệp tội phạm này”. “Và, cũng như với các tổ chức hợp pháp, chỉ cần một người bất mãn là có thể làm sáng tỏ hoặc phá vỡ một hoạt động phức tạp.”
