Danas je LockBit ransomware najaktivnija i najuspješnija organizacija za kibernetički kriminal na svijetu. Pripisan ruskom hakeru, LockBit je izašao iz sjene grupe za ransomware Conti, koja je raspuštena početkom 2022. godine.
LockBit ransomware je prvi put otkriven u septembru 2019. godine i ranije je bio poznat kao ABCD ransomware zbog ekstenzije “.abcd virus” koja je prvi put uočena. LockBit radi kao model Ransomware-as-a-service (RaaS). Ukratko, to znači da drugi uplaćuju depozit za korištenje alata, a zatim podijele uplatu otkupnine s grupom LockBit. Prijavljeno je da neke “partneri” imaju udio od čak 75%. LockBit-ovi operateri su objavili oglase za svoj pridruženi program na kriminalnim forumima na ruskom jeziku u kojima navode da neće raditi u Rusiji ili bilo kojoj zemlji ZND-a, niti će raditi sa programerima koji govore engleski osim ako za njih ne garantuje “garant” koji govori ruski.
Početni vektori napada LockBit-a uključuju društveni inženjering, kao što su krađa identiteta i kompromitovanje poslovnog email-a (BEC), iskorištavanje javnih aplikacija, zapošljavanje brokera za početni pristup (IAB) i korištenje ukradenih kredencijala za pristup važećim računima, kao što su protokol za udaljenu radnu površinu (RDP), kao i brute force napad.
Tokom prošlogodišnjeg vebinara Global Threat Forecast, čiji je domaćin SecurityHQ, identifikovali smo LockBit kao značajnu pretnju i istakli ih kao hakere na koje treba obratiti pažnju tokom 2022. godine.
Mete LockBit-a
LockBit je tipično fokusirao napade na vladine subjekte i kompanije u različitim sektorima, kao što su zdravstvo, finansijske usluge i industrijska roba i usluge. Primijećeno je da ransomware cilja na zemlje širom svijeta, uključujući SAD, Kinu, Indiju, Indoneziju, Ukrajinu, Francusku, Veliku Britaniju i Njemačku.
Još jedna zanimljiva karakteristika LockBit-a je da je programiran na način da se ne može koristiti u napadima na Rusiju ili zemlje ZND (Commonwealth of Independent States). Ovo je vjerovatno mjera predostrožnosti koju je grupa preduzela kako bi izbjegla bilo kakvu potencijalnu reakciju ruske vlade.
Mapa ispod prikazuje lokacije koje cilja LockBit.
Godina puna “posla” za LockBit
Analizom podataka o lokacijama curenja, uspjeli smo dobiti pravu sliku o tome koliko je uspješnih napada LockBit napravio. Grupa je 2022. godine imala više uspjeha u napadima od bilo koje druge grupe ransomware-a. Mapirali smo aktivnost LockBit-a tokom cijele godine u odnosu na druge dobro poznate grupe ransomware-a. Možete vidjeti pad Conti-a kada je grupa počela da zatvara operacije. Međutim, izvještava se da članovi nekada plodne Conti ransomware grupe sada djeluju unutar grupa BlackBasta, BlackByte i Karakurt ransomware.
Grafikon ispod pokazuje koliko je LockBit bio aktivan tokom 2022. godine, u poređenju s drugim grupama ransomware-a.
Jedna od jedinstvenih karakteristika LockBit-a je njihov program za nagrađivanje grešaka za njihove kreatore i kompajlere ransomware-a. Grupa nudi nagradu od milion dolara za svakoga ko može javno otkriti identitet vlasnika. Ovo je značajna suma i pokazuje koliko je LockBit ozbiljan u pogledu očuvanja njihove anonimnosti.
Nedavno je grupa povezana s napadom na Royal Mail u Velikoj Britaniji. Međutim, LockBit je negirao bilo kakvu umiješanost u napad, navodeći da ga je izvelo povezano lice. Ovo nije neuobičajeno za grupe ransomware-a, jer često koriste “partnere” za izvođenje napada kako bi se distancirali od posljedica.
Sve u svemu, LockBit ransomware grupa je velika i sofistifikovana organizacija za kibernetički kriminal koja predstavlja značajnu pretnju kompanijama i organizacijama širom svijeta. Sa dobro uspostavljenim modelom ransomware-as-a-service, programom za nagrađivanje grešaka i spremnošću da nagradi one koji otkriju identitet autora, LockBit je sila na koju se treba računati u okruženju pretnji.
Šta je RaaS?
Ransomware-as-a-service (RaaS) je stekao popularnost posljednjih godina. RaaS se odnosi na vrstu poslovnog modela u kojem operateri ransomware-a pružaju maliciozni softver i alate drugim pojedincima ili grupama organizovanog kriminala za izvođenje ransomware napada, u zamjenu za dio plaćanja otkupnine. To omogućava još manje tehnički vještim pojedincima da učestvuju u napadima ransomware-a, povećavajući broj napada i otežavajući praćenje i hapšenje napadača.
Koji je sledeći korak?
Kako biste poboljšali svoj bezbjednosni položaj, preporučuje se da kompanije urade sljedeće korake:
- Osigurajte da se upravljano otkrivanje i odgovor (MDR) koristi za razumijevanje malicioznih ili anomalnih aktivnosti, analizu, određivanje prioriteta i brzo reagiranje na pretnje, te zaštitu Vaših podataka, ljudi i procesa.
- Osigurajte da zaposleni budu obučeni i educirani o najnovijim pretnjama iz kibernetičke bezbjednosti, kako bi znali kako uočiti napad i odgovoriti na njega na pravi način.
Izvor: The Hacker News
