A cepa de ransomware LockBit continua a ser a principal ameaça de extorsão digital em todas as regiões e quase todos os setores globalmente, de acordo com um relatório da ZeroFox. Pesquisadores de segurança da empresa descobriram que a gangue de hackers foi alavancada em mais de um quarto dos ataques globais de ransomware e extorsão digital (R&DE) no período de janeiro de 2022 a setembro deste ano. Isso inclui 30% de todos os ataques de R&DE na Europa e 25% na América do Norte durante o período.
No entanto, a ZeroFox diz que a proporção geral de ataques que o LockBit contabiliza está em uma trajetória descendente. Isso provavelmente se deve à crescente diversificação do cenário de R&DE, com ofertas de ransomware como serviço (RaaS) reduzindo as barreiras de entrada para os operadores de ameaças.
Os pesquisadores observam que, historicamente, o LockBit tem sido consistentemente sub-implantado em ataques contra a América do Norte na comparação com outras regiões, como a Europa. Uma média de 40% das vítimas do LockBit estavam baseadas na América do Norte, mas há evidências de que isso está em uma trajetória ascendente, devendo chegar a 50% até o fim deste ano.
Os setores mais visados pelo LockBit na América do Norte entre janeiro de 2022 e setembro de 2023 foram manufatura, construção, varejo, consultoria jurídica e saúde.
Já em relação à Europa, o ransomware representou 43,41% dos ataques de R&DE no primeiro trimestre de 2022, mas diminuiu para 28,48% no último trimestre do período, o terceiro trimestre de 2023.
Veja isso
LockBit assume ataque ao laboratório aeroespacial da Índia
Gangue de ransomware LockBit vaza 43 GB de dados da Boeing
Devido à ampla gama de operadores LockBit, uma variedade de métodos de intrusão tem sido usada para implantar a carga útil. As principais técnicas identificadas foram:
- Exploração de aplicativos voltados para a internet. Essas eram principalmente uma série de vulnerabilidades de execução remota de código e escalonamento de privilégios.
- Phishing. Os afiliados do LockBit aproveitaram uma variedade de iscas de phishing para acessar as redes das vítimas, incluindo anexar documentos maliciosos e currículos fraudulentos e e-mails relacionados a direitos autorais.
- Serviços remotos externos. Os operadores de ameaças aproveitam as credenciais legítimas do usuário obtidas por meio da coleta de credenciais para acessar serviços de trabalho remoto voltados para o exterior.
- Compromisso Drive-by. Os operadores do LockBit têm sido observados acessando sistemas por meio de um usuário visitando um site, muitas vezes visando o navegador da web do usuário para fazê-lo.
- Contas válidas. Os operadores de ameaças frequentemente comprometem credenciais para ignorar controles de acesso, estabelecer persistência, escalar privilégios e evitar a detecção.
Embora a proporção de ataques R&DE que o LockBit contabiliza esteja caindo, a ZeroFox diz que a cepa deve continuar sendo uma das maiores ameaças “contra quase todas as indústrias em todos os locais”. A empresa de segurança cibernética também observa que os grupos afiliados do LockBit estão mudando seu foco para organizações que acreditam ser mais propensas a pagar demandas de ransomware, como serviços profissionais, educação e organizações do setor financeiro.
A cepa de ransomware LockBit foi identificada pela primeira vez em setembro de 2019 e é executada como oferta de RaaS. É popular entre uma variedade de operadores de ameaças devido à sua velocidade de comprometimento e recursos semelhantes a worms que permitem a autopropagação em uma rede comprometida. Acredita-se que o ransomware esteja por trás de uma série de ataques recentes de alto perfil neste ano, incluindo ao Royal Mail, Boeing e ao Banco Industrial e Comercial da China (ICBC).
Para ter acesso ao relatório completo da ZeroFox, em inglês, clique aqui.