Малий і середній бізнес у фокусі: Sophos представляє своє останнє дослідження програм-вимагачів LockBit. Виділяються дві методики: по-перше, використання автоматизованих інструментів для зараження певного податкового та бухгалтерського програмного забезпечення у зламаних мережах за допомогою програми-вимагача, по-друге, перейменування файлів PowerShell, щоб замаскувати себе.
«Зловмисники LockBit використовують автоматизовані засоби атаки, щоб ідентифікувати перспективні цілі», — резюмує Шон Галлахер, старший дослідник загроз у Sophos. Аналіз показує, як зловмисники використовують інструменти PowerShell для пошуку конкретних бізнес-додатків у зламаних мережах, включаючи податкове та бухгалтерське програмне забезпечення. Якщо відбиток пальця, згенерований цим пошуком, відповідає критеріям ключового слова, інструменти автоматично виконують низку завдань, включаючи запуск атаки LockBit.
Виявлено нові методи атаки
Дослідники також змогли ідентифікувати низку нових векторів атак, які дозволяють LockBit уникати виявлення. Це включає перейменування файлів PowerShell і використання віддаленого документа Google для командного та контрольного зв’язку. Завдяки високоавтоматизованому характеру атак після запуску програма-вимагач може поширюватися мережею протягом п’яти хвилин, одночасно видаляючи свої журнали активності.
Зловмисники LockBit спеціально націлені на невеликі компанії як жертви
«Інтерес LockBit до конкретних бізнес-додатків і ключових слів вказує на те, що зловмисники явно хотіли ідентифікувати системи, які є цінними для менших підприємств – системи, які зберігають фінансові дані та обробляють повсякденні операції, – щоб масово тиснути на жертв, щоб вони заплатили», – сказав Галлахер. . «Ми бачили, як програми-вимагачі заморожували бізнес-додатки під час їх роботи, але це перший випадок, коли зловмисники шукали певні типи програм за допомогою автоматичного підходу для визначення потенційних цілей».
Група програм-вимагачів LockBit стежить за такими фракціями програм-вимагачів, як Рюк
«Схоже, що банда LockBit стежить за іншими кібергангстерськими групами, включаючи Ryuk. Компанія Sophos нещодавно дізналася про цю групу за допомогою Cobalt Strike. Це адаптовані інструменти, розроблені для тестування на проникнення для автоматизації та прискорення атак. У цьому випадку сценарії PowerShell допомагають зловмисникам ідентифікувати системи, які містять програми з особливо цінними даними. Таким чином вони не хочуть витрачати свій час на жертв, які менш імовірно платять».
Зловживання легітимними інструментами та модифікація захисту від шкідливих програм
Зловмисники LockBit намагаються приховати свою діяльність, роблячи її схожою на звичайні автоматизовані адміністративні завдання та використовуючи законні інструменти: наприклад, зловмисники створюють замасковані копії компонентів сценаріїв Windows, а потім використовують планувальник завдань Windows для їх запуску. Крім того, вони змінюють вбудований захист від шкідливих програм, щоб він більше не міг працювати.
«Єдиний спосіб захиститися від таких типів атак програм-вимагачів — це багаторівневий захист із послідовним впровадженням захисту від шкідливих програм у всіх системах. Якщо служби залишаються незахищеними або неправильно налаштованими, зловмисники можуть легко ними скористатися», – підсумовує Галлахер.
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.