LockBit Архіви - Блог Грідінсофт

Білдер LockBit 3.0 просочився у відкритий доступ

21 вересня 2022 року новий користувач Твіттера Алі Кушджі опублікував те, що має бути збирачем програм-вимагачів LockBit. За словами користувача, ця програма призначена для програми-вимагача LockBit 3.0 – останньої версії шкідливого ПЗ, використовуваного цими кіберзлочинцями. Конкретний користувач прикидається анонімним хакером, який зламав інфраструктуру LockBit.

Що таке програма-вимагач LockBit?

LockBit Ransomware — одна з найуспішніших груп вимагачів серед активних у 2022 році. З’явившись у 2020 році, вона швидко стала великою рибою завдяки надзвичайно швидкому і надійному шифруванню і таким же швидким інструментам вилучення даних. У 2022 році, після закриття групи Conti, вона швидко завоювала вивільнену частку ринку та стала абсолютним лідером. Доступна статистика показує, що майже 60% атак програм-вимагачів на корпорації влітку 2022 були ініційовані групою LockBit.

Локбіт також відомі як дуже публічна група, оскільки вони постійно активні на різних форумах і навіть дають інтерв’ю у різних блогах. Основна ідея, яку просуває угрупування, звучить як: «Lockbit завжди робить те, що обіцяє». Ймовірно, вони мали на увазі, що після сплати викупу, жертва гарантовано отримає ключ дешифрування, а її файли будуть видалені. Очевидно, що DDoS-атаки, які ця група почала використовувати для створення іншого стимулу до оплати, також має бути зупинено. Така впевненість, швидше за все, є результатом сумлінної програми найму — керівники точно впевнені, що учасники групи дотримуються правил.

Витік білдера LockBit 3.0

Кожен зразок програми-вимагача, розповсюджений групою LockBit, унікальний. Він доставляється в цільову систему після встановлення з’єднання з командним сервером, що відбувається одразу після отримання первинного доступу. Спеціальний інструмент генерує варіант шкідливого ПЗ з унікальним порядком внутрішніх секцій, що унеможливлює його виявлення за допомогою будь-якого сигнатурного аналізу. Ця утиліта також використовується при створенні ключів шифрування та дешифрування, що робить цю програму потенційно цінною для створення уніфікованого дешифратора.

У середу, 21 вересня 2022 року, користувач Twitter під ніком Ali Qushji опублікував кілька твітів, у яких поділився посиланням на завантаження білдера та деякими подробицями. Зокрема, було твердження про виток цієї програми з інфраструктури LockBit після успішного злому останньої. Немає жодних доказів того, що мав місце будь-який реальний злом серверів LockBit, але інший твіт (нині видалений) від Vx-Underground підтверджував більш ранній витік (який стався 10 вересня 2022 р.).

твіт Алі Кушджі був опублікований 21 вересня 2022 року, проте згодом був видалений

Людина з ніком Proton, яка, ймовірно, працює в групі LockBit програмістом, поділилася конструктором з адміністраторами вищезгаданої сторінки в Твіттері. Ця версія належала останній версії програми-вимагача LockBit 3.0 і містила кілька виправлень помилок, які були раніше. Ще більшу плутанину створює той факт, що обидві версії — та, яку поділяє Протон, та та, яку пропонує Алі Кушджі, — відрізняються. Обидва вони доступні GitHub 3xp0rt.

Що далі?

Ситуація настільки заплутана, наскільки це можливо. Імовірність того, що інфраструктура LockBit була зламана, досить висока, і якщо це виявиться правдою, група, швидше за все, матиме серйозні проблеми. І не тільки з міркувань безпеки: ті, хто проник всередину серверів, швидше за все, злили всі дані, необхідні для створення дешифратора. Звичайно, група може переключитися на іншу технологію — але на це знадобиться час, і така операція буде не дуже приємною після нещодавнього переходу на шифрувальник LockBit 3.0. Краще дочекатися офіційної реакції кіберзлочинців і лише потім робити висновки.

Група LockBit зазнала потужної DDoS-атаки

Минулого тижня, після злому компанії з інформаційної безпеки Entrust, хакерська група LockBit зазнала потужної DDoS-атаки. Зараз хакери кажуть, що покращили захист від DDoS і планують у майбутньому зайнятися потрійним здирством, використовуючи такі атаки як додаткові важелі впливу на жертв.

Bleeping Computer нагадує, що LockBit з’явився в 2019 році і з того часу став однією з найактивніших загроз. Раніше ми писали про те, що хакери запустили LockBit 3.0 та Bug Bounty Ransomware, а також про те, що експерти знаходять схожість між LockBit та BlackMatter.

Нагадаю, Entrust було зламано ще у червні 2022 року. Тоді компанія підтвердила ЗМІ, що Entrust зазнала атаки програми-вимагача, під час якої з її систем було викрадено дані. Крім того, на сайті, який хакерська група LockBit використовує для витоку даних, є розділ, присвячений Entrust. Зловмисники заявили, що збираються опублікувати там всю вкрадену в компанії інформацію. Зазвичай такі дії означають, що компанія-жертва відмовилася вести переговори з вимагачами або виконувати їхні вимоги.

Однак невдовзі після публікації даних Tor-сайт хакерів вийшов з ладу, і група повідомила, що зазнала DDoS-атаки саме через злом Entrust. Справа в тому, що DDoS супроводжується повідомленнями: DELETE_ENTRUSTCOM_MOTHERFUCKERS.

Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Lockbit: pic.twitter.com/HUO2hdTbwz
— vx-underground (@vxunderground) August 21, 2022

Як зараз пишуть журналісти Bleeping Computer, представник групи, відомий як LockBitSupp, повідомив, що група знову працює з серйознішою інфраструктурою, і тепер сайт витоку даних не боїться DDoS-атак.

Більше того, хакери заявили, що сприйняли цю DDoS-атаку як можливість вивчити тактику потрійного викупу, яка може стати в нагоді їм у майбутньому. Адже за допомогою DDoS-атак можна зробити додатковий тиск на жертв з метою виплати викуп (крім шифрування даних та загроз опублікувати вкрадену інформацію у відкритому доступі).

Шукаю дудосерів у команду, швидше за все тепер ми будемо атакувати цілі і вимагати потрійного викупу: шифрування + витік даних + дудоси, тому що я відчув силу дудосів і як це бадьорить і робить життя цікавішим.”- LockBitSup пише на форумі хакерів.

LockBit також пообіцяв поширювати всі вкрадені в Entrust дані через торрент на 300 ГБ, щоб “весь світ дізнався про ваші секрети”. При цьому представник групи пообіцяв, що спочатку хакери ділитимуться даними Entrust у приватному порядку з усіма, хто з ними зв’яжеться. Журналісти зазначають, що у вихідні LockBit вже випустив торрент під назвою «entrust.com», що містить 343 ГБ інформації.

https://twitter.com/masterchaerge/status/1563525794785140738?s=20&t=-AyXzSMur3sTjZBdfQ5RFg

Що стосується захисту від DDoS-атак, то одним із методів, що вже реалізовані хакерами, є використання унікальних посилань у записках з вимогою викупу.

“Вже реалізована функція рандомізації посилань у нотатках локера, кожна збірка локера матиме унікальне посилання, яке дудосер не зможе розпізнати”, – говорить LockBitSupp.

Хакери також заявили про збільшення кількості дзеркал і резервних серверів, а також планують підвищити доступність вкрадених даних, опублікувавши їх у звичайному інтернеті та використовуючи для цього «куленепробивний» хостинг.

Хто найшвидший серед програм-вимагачів?

Нещодавно дослідниками зі Splunk було опубліковано дослідження щодо того яка з програм-вимагачів є найшвидшою. Вони спробували перевірити, який зразок програм-вимагачів виконає найшвидше за часом шифрування файлів.

Чому це важливо знати, скільки часу потрібно програмі-вимагачеві для шифрування системи?

Результати цього дослідження співпали з аналогічним дослідженням, а саме таким собі “маркетинговим” PR-трюком від банди хакерів LockBit, де вони також порівнювали різні сімейства програм-вимагачів щодо того, хто є найшвидшим. Їхнє власне програмне забезпечення-вимагач виявилося найшвидшим.

Дослідники зі Splunk стверджують, що результати цього дослідження допоможуть спеціалістам з кібербезпеки приймати більш точні рішення щодо загрози-вимагача. І взагалі дуже цікаво знати, чи можна зупинити повне шифрування після зараження і що важливіше, скільки часу ми маємо на такий випадок.

Дослідження проводилося в спеціальному контрольованому середовищі з моделюванням події реального зараження. Дослідники вибрали десять варіантів з десяти різних сімейств шкідливих програм. Загальна кількість файлів для тестування становить 53 ГБ. Усі 98 561 файли мали різні розширення, такі як pdf, XLS, doc.

Кожен зразок програм-вимагачів було запущено на чотирьох хостах і склало 400 різних запусків програм-вимагачів. Тобто, 10 сімей х 10 зразків на сімейство х 4 профілі. Для збору необхідних даних дослідники використовували комбінацію Microsoft Sysmon, stoQ, Zeek разом зі статистикою Windows Perfmon і власним журналом Windows.

«У нашій початковій гіпотезі ми стверджували, що якщо програмне забезпечення-вимагач вже виконується в системі, то для організації надто пізно хоч якось зреагувати, щоб це було ефективно. Ми провелиогляд літератури щодо цього питання і виявили лише роботу, яка була енциклопедичною за обсягом від одної з хакерських груп», – йдеться у статті, написаній у блозі команди.

Як проводилося дослідження щодо найшвидшого програмного забезпечення-вимагача?

Тож команда створила чотири різні машини-жертви, які мали операційні системи Windows Server 2019 і Windows 10. Слід зазначити, що кожна з них мала свої дві різні характеристики продуктивності, що імітували середовище клієнтів.

Усі зразки, які були взяті для тестування, дослідники отримали від ідентифікаторів виявлення Microsoft Defender на VirusTotal.

Хто найшвидший серед програм-вимагачів? — Тестовані зразки програм-вимагачів

Щоб фіксувати необхідні події шифрування, дослідники включили аудит на рівні об’єктів у 100 каталогах, де їх файли були перевірені. Це, у свою чергу, надало команді журнали EventCode 4663, які вони використовували для обчислення загального часу до шифрування (TTE) для кожного зразка відповідно.

Під час тестування зразків дослідники отримали доступ до значення Accesses DELETE в кінці кожного зашифрованого файлу з кожного зразка. І саме так вони вимірювали швидкість шифрування. Однак дослідники попереджають, що не з кожним програмним забезпеченням-вимагачем ви отримуєте це, а пошук EventCode=4663 Accesses=DELETE у Splunk не завжди дає однакові результати.

Результати дослідження

Результати дослідження виявилися такими, як «рекламувала» банда LockBit на своєму сайті Tor. Сімейство програм-вимагачів цих злочинних розробників зашифрувало тестові файли за чотири хвилини і дев’ять секунд. Бабук посів друге місце з відставанням на одну хвилину.

Але важливо розуміти, що розміщення програм-вимагачів було зроблено відповідно до середньої тривалості, оскільки результати деяких сімей можуть зіпсувати середню тривалість. Щоб пояснити, дослідники назвали один зразок програмного забезпечення Babuk, на шифрування файлів якому знадобилося більше трьох з половиною годин.

Дослідження також доступне з більш детальною інформацією за посиланням. Команда пообіцяла опублікувати більше.

І нарешті постає питання. Що фахівці з кібербезпеки можуть взяти з дослідження?
По-перше, це оригінальна гіпотеза команди, яка в основному привела до цього дослідження. Чи настільки швидкими бувають програми-вимагачі, щоб не можливо було їх зупинити при раптовому потраплянні в систему? Як виявилося, швидше за все, у вас справді є той самий мізерний шанс.

Поради щодо того, як уникнути зараження програмою-вимагачем

Але всі знають напевно, що завжди краще попередити проблему, ніж боротися з нею. Ще раз нагадую вам загальні поради, щоб уникнути зараження програмою-вимагачем:

Використовуйте послуги VPN у загальнодоступних мережах Wi-Fi. Якщо ви використовуєте загальнодоступні мережі Wi-Fi, завжди намагайтеся використовувати безпечне VPN-з’єднання. Особливо використовуйте його, коли виконуєте деякі конфіденційні транзакції, такі як деякі банківські платежі;

Використовуйте лише надійні джерела завантаження. Я думаю, що сьогодні цей пункт має видаватися більш ніж очевидним. Використовуйте лише ті сайти, які мають знаки безпеки та конфіденційності. Подивіться на адресний рядок браузера. Там ви повинні побачити “https” замість “http”. Символ блокування або щит також вказує на безпеку ресурсу. Особливу обережність слід приділяти, коли ви завантажуєте будь-що на свій телефон. Використовуйте Google Play Store або Apple App Store коли вам потрібно що-небудь завантажити на телефон;

Регулярно перевіряйте свої програми та операційні системи на наявність нових оновлень. Коли у вас остання версія програми або операційної системи, кіберзлочинцям важче виконувати експлойти на них. Перевірка нових оновлень не займає багато часу, але, безумовно, усуває багато майбутніх проблем;

Ніколи не використовуйте невідомі USB-накопичувачі. Ця порада для дуже або занадто допитливих людей. Коли ви думаєте, що нічого поганого не може статися, якщо я один раз подивлюся, то це саме те, де і ховається підступ. Справа в тому, що ви не знаєте, що зберігається на цій, здавалося б, втраченій USB-флешці, і краще не знати взагалі. Стара приказка говорить: «Чим менше знаєш, тим краще спиш».

І останні, але занадто очевидні, тому ми просто назвемо їх. Не переходьте за підозрілими посиланнями, не розголошуйте свою особисту інформацію там, де це може бути небезпечно, не відкривайте підозрілі вкладення електронної пошти.

Це лише поради, але зі здоровим глуздом вони несуть сенс безпеки. Будьте пильні.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів — “Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;

Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;

Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.