Вредоносные программы Банда выкупов LockBit Загадка

контексты

Официальный дебют вируса LockBit состоялся в сентябре 2019 года, и его прозвали "ABCD" за использование суффикса .abcd для обозначения зашифрованных файлов жертв. Ранние версии LockBit 1.0 были очень незрелыми, в них не только использовались фиксированные блокировки взаимного исключения, но и оставались отладочные функции, которые могли быть легко распознаны и перехвачены антивирусными программами, песочницами и другим защитным ПО.

По мере роста организации LockBit 1.0 начала работать по модели RaaS (Ransomware-as-a-service ransomware and services), в рамках которой инструменты для выкупа разрабатываются и распространяются для использования другими злоумышленниками, и рекламировала свою программу сотрудничества на известном русскоязычном форуме XSS.

Восемь месяцев спустя операторы LockBit 1.0 усовершенствовали тактику работы с выкупом, создав сайт для публичного раскрытия данных жертвы в сочетании с шифрованием файлов в попытке оказать дополнительное давление на жертву с целью получения "двойного выкупа".

После нескольких незначительных обновлений LockBit 1.0 стал более сложным, чем другие программы-рансомеры. Для шифрования файлов в системах Windows используется алгоритм RSA + AES, а для повышения эффективности применяется порт завершения IOCP + набор инструкций AES-NI, что обеспечивает высокую производительность процесса шифрования, а после успешного шифрования файлов ко всем файлам жертвы добавляется не поддающееся взлому расширение .abcd.

LockBit ransomware 1.0, главным образом, изменяет обои рабочего стола системы жертвы, отображая сообщения о выкупе, и оставляет записку с выкупом под названием Restore-My-Files.txt, в которой просит жертву войти в темную паутину и заплатить выкуп в биткойнах или монетах Монро.

Впоследствии группа прославилась несколькими громкими атаками. Например, в июне 2022 года они запустили LockBit версии 3.0, в которую была включена программа по поиску уязвимостей, приглашающая исследователей безопасности тестировать и улучшать их программное обеспечение. Предложение вознаграждения за обнаружение уязвимостей в системе - уникальный подход в борьбе с вымогательством.

С начала своей деятельности компания LockBit внесла значительный вклад винформационная безопасностьАтаки часто приводят к краже конфиденциальных данных и финансовым потерям для пострадавшей стороны.

"Блестящая" история

До мая 2022 года LockBit будет находиться на вершине популярности, проникнув в защиту более 850 корпоративных организаций по всему миру, и на его долю придется 46% всех атак, связанных с вымогательством, за тот же период времени.

Агентская модель RaaS:

Стиль атаки:

По данным компании Dragos, около трети атак с целью выкупа на промышленные системы во втором квартале 2022 года было совершено с помощью LockBit, поразившей ряд крупных организаций в секторе промышленного управления. А компания Deep Instinct сообщила, что в первой половине 2022 года LockBit совершил около 44% всех атак с целью выкупа.

За три года существования банды LockBit жертвами стали более тысячи человек, что в два раза больше, чем у ветеранов группы Conti, и в пять раз больше, чем у Revil.

Стоит также отметить, что процент получения выкупа организацией LockBit выше, чем у многих известных организаций, занимающихся выкупом. Если говорить о 2022 данных, то процент успешных выкупов составляет более половины от 100 миллионов долларов, что напугало множество компаний.

статус-кво

В связи с этим группа привлекла внимание правоохранительных органов по всему миру.2022 В ноябре Министерство юстиции США (DoJ) предъявило обвинения в причастности к операции LockBit ransomware Михаилу Васильеву, имеющему двойное российское и канадское гражданство. В настоящее время он находится под стражей в Канаде и ожидает экстрадиции в США.

В мае гражданин России Михаил Павлович Матвеев (30 лет), также известный под именами Wazawaka, m1x, Boriselcin и Uhodiransomwar, был обвинен Министерством юстиции США в участии в нескольких атаках с использованием ransomware.

Министерство юстиции США опубликовало два обвинительных заключения, в которых он обвиняется в использовании трех различных типов программ-вымогателей для атак на многочисленных жертв по всей территории США, включая правоохранительные органы в Вашингтоне и Нью-Джерси, а также организации в сфере здравоохранения и других отраслях по всей стране:

• Примерно 25 июня 2020 года Матвеев и его соучастники из LockBit совершили нападение на правоохранительный орган в округе Пассаик, штат Нью-Джерси;
• 26 апреля 2021 года Матвеев и его "Бабук" стали соучастниками нападения на Департамент столичной полиции в Вашингтоне;
• Примерно 27 мая 2022 года Матвеев и его соучастники из "Улья" совершили нападение на некоммерческую организацию по поведенческой медицине в Нью-Джерси.
• 19 февраля 2024 года печально известный сайт банды выкупа LockBit был захвачен в ходе совместной операции правоохранительных органов, проведенной Национальным агентством по борьбе с преступностью Великобритании, Федеральным бюро расследований США, Европолом и Международной коалицией полицейских агентств.

На сайте treasury.gov публикуется соответствующая информация о санкциях, касающаяся сведений о персонале, адресов BTC и ETH и т. д:

Мы использовали MistTrack, чтобы посмотреть финансирование для санкционированного адреса ETH (0xf3701f445b6bdafedbca97d1e477357839e4120d):

Анализ показал, что средства на этом ETH-адресе были отмыты.

Затем мы проанализировали статус адресов BTC, попавших под санкции, и обнаружили, что самые ранние транзакции по этим адресам датируются октябрем 2019 года, а самые последние - мартом 2023 года, и что соответствующие средства по каждому адресу были переведены.

Адрес, на который поступила самая большая сумма, - 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5, это адрес партнера LockBit Артура Сунгатова, который был отмечен MistTrack как адрес депозита Binance, и средства были переведены.

Во-вторых, сумма в 52,7892 BTC была получена на адрес 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM, который является адресом Ивана Кондратьева, аффилированного лица LockBit, и который был отмечен MistTrack как адрес депозита Kucoin, и который получил еще один санкционированный перевод в 0,4323 BTC на адрес bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6. Адрес bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 перевел 0,4323 BTC.

Правительство США совместно с британским и Европолом обнародовало дополнительную информацию об организации LockBit, занимающейся распространением вымогательского ПО, и выяснило, что LockBit имеет 193 филиала:

тайна ареста

По словам представителя Национального агентства по борьбе с преступностью Великобритании, работа сервисов LockBit была прервана в рамках продолжающейся и развивающейся операции. Эта операция - последняя в многолетней борьбе между правоохранительными органами и бандами, занимающимися выкупом, наносящая мощный удар по недавним транснациональным операциям LockBit по выкупу и служащая эффективным сдерживающим фактором для растущего числа атак с выкупом.

Если посмотреть на узлы LockBit, то все известные сайты организации, занимающейся разработкой выкупного ПО LockBit, либо не работают, либо на них отображаются страницы, которые были изъяты Европолом. Правоохранительные органы изъяли или ликвидировали по меньшей мере 22 сайта Tor в рамках так называемой операции Kronos.

После этого руководители LockBit Ransomware Group подтвердили СМИ, что их сайт был захвачен:

Однако, судя по всему, захват не затронул основной штат LockBit, поскольку организация LockBit, занимающаяся разработкой выкупного ПО, затем опубликовала сообщение для частных лиц на Tox: "ФБР затронуло серверы, использующие PHP, альтернативные серверы без PHP не пострадали".

Сегодня руководство LockBit заявило: "Мы поговорили с руководителями организации LockBit по поводу заявления правоохранительных органов о том, что руководство LockBit будет опубликовано в пятницу 23 февраля 2024 года.

LockBit ответила: "Пусть они раскроют его, я уверена, что они не знают моей личности". Затем группа разработчиков вымогательского ПО LockBit изменила свое название на "FBI Supp", чтобы поиздеваться над правоохранительными органами:

По данным @vxunderground, теперь кажется, что конечный организатор не пойман, хотя LockBit публично предлагает большую награду за то, чтобы найти себя.

К этому моменту история становится все лучше и лучше, а правоохранительные органы утверждают, что в ближайшие дни появится больше информации об организации LockBit.

Каковы будут последствия? Увидим.

резюме

Эта акция - последняя в ряду инициатив правоохранительных органов по борьбе с бандами вымогателей. В конце прошлого года ФБР и другие ведомства успешно ликвидировали сети и инфраструктуру нескольких банд вымогателей, включая Qakbot и Ragnar Locker.

На недавней Мюнхенской конференции по кибербезопасности заместитель генерального прокурора США подчеркнул приверженность Соединенных Штатов борьбе с выкупными программами и киберпреступностью, заявив, что они примут более оперативную и проактивную стратегию, направленную на предотвращение и пресечение этой преступной деятельности.

С развитием цифровых технологий киберпреступность, опирающаяся на криптовалюты, стала серьезной глобальной проблемой. Киберпреступления, такие как ransomware, не только приносят убытки частным лицам и компаниям, но и представляют серьезную опасность для общества в целом. Согласно статистике, в прошлом году киберпреступники вымогали у жертв по всему миру более 1,1 миллиарда долларов.

Кроме того, борьба с вымогательским ПО - это битва между киберзлоумышленниками и сотрудниками службы безопасности, которая требует терпения, стратегии и выбора времени.

В качестве примера можно привести программу LockBit ransomware, которая продолжает итеративно обновлять каждую версию своих методов атаки, стратегий, точек вторжения и т. д., что затрудняет для сотрудников службы безопасности формирование полной системы ремонта. Поэтому в процессе управления ransomware предотвращение гораздо важнее, чем ремонт, и необходимо принять систематическую, комплексную политику, систематическое управление, многосторонний совместный подход к формированию забора для предотвращения ransomware, и настоятельно рекомендуется предпринять следующие защитные меры:

По возможности используйте сложные пароли:При установке паролей для серверов или внутренних систем организации следует использовать сложные учетные данные, например, пароли, которые должны включать цифры, заглавные и строчные буквы, специальные символы и состоять не менее чем из 8 цифр, а также регулярно менять пароли.

Двойная валидация:Для конфиденциальной информации в организации логины на основе паролей должны быть дополнены другими уровнями защиты, чтобы предотвратитьхакерАтаки, например, такие, как установка биометрической аутентификации по отпечаткам пальцев, радужной оболочке глаза и т. д. или использование физических USB-ключей-аутентификаторов на некоторых чувствительных системах.

Четыре "нет":Не переходите по электронной почте из неизвестных источников; не просматривайте сайты с порнографией, азартными играми и другой нежелательной информацией; не устанавливайте программное обеспечение из неизвестных источников и будьте осторожны с установкой программ, присланных незнакомцами; не вставляйте в устройство мобильные устройства хранения данных, такие как USB-накопители, мобильные жесткие диски и карты памяти из неизвестных источников.

Защита данных при резервном копировании:Реальным средством защиты от потери данных всегда является резервное копирование в автономном режиме, поэтому очень важно создавать резервные копии критически важных данных и бизнес-систем. Обратите внимание, что резервные копии должны быть четкими и маркированными на каждом этапе, чтобы их можно было своевременно извлечь в случае заражения конкретной резервной копии вредоносным ПО.

Всегда убивайте вирусы и закрывайте порты:Установите антивирусное программное обеспечение и регулярно обновляйте вирусные базы, а также регулярно проводите полную антивирусную проверку; закройте ненужные службы и порты (в том числе ненужные службы удаленного доступа, такие как порт 3389, порт 22, и ненужные порты общего доступа к локальной сети, такие как 135, 139, 445 и т. д.).

Повышение осведомленности сотрудников о безопасности:Самая большая скрытая опасность безопасности производства лежит в персонале, рыбалка, социальная работа, отравление, слабые пароли и т.д., эти ключевые факторы тесно связаны с осведомленностью персонала о безопасности, поэтому, чтобы сделать хорошую работу по общему укреплению безопасности и повышению обороноспособности, мы должны эффективно повысить осведомленность персонала о безопасности.

Своевременное обновление офисных терминалов и серверов:Своевременное обновление операционной системы, а также сторонних приложений предотвращает проникновение злоумышленников в систему через уязвимости.

благодарственная записка:WuBlockchain, @vxunderground, Hittan Labs, Yunding Labs

Ссылаться на

[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware- группа

[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[4] https://ofac.treasury.gov/recent-actions/20240220