A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, o FBI e o Centro de Compartilhamento e Análise de Informações Multiestadual (MS-ISAC) divulgaram um alerta de segurança detalhando os indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs) associados à operação do ransomware LockBit 3.0.
Desde janeiro de 2020, o LockBit, também conhecido como LockBit Black, funciona com base no modelo ransomware como serviço (RaaS), visando uma ampla gama de empresas e entidades de infraestrutura crítica. O LockBit 3.0, que é sucessor do LockBit 2.0 e das versões LockBit, é mais modular e evasivo e compartilha semelhanças com Blackmatter e Blackcat ransomware.
“O LockBit 3.0 infectará apenas máquinas que não possuem configurações de idioma correspondentes a uma lista de exclusão definida. No entanto, se um idioma do sistema é verificado no tempo de execução é determinado por um sinalizador de configuração definido originalmente no tempo de compilação. Os idiomas na lista de exclusão incluem, entre outros, romeno (Moldávia), árabe (Síria) e tártaro (Rússia). Se um idioma da lista de exclusão for detectado, o LockBit 3.0 interromperá a execução sem infectar o sistema”, diz o comunicado das entidades governamentais.
Para obter acesso inicial às redes de destino, os operadores da Lockbit usam várias técnicas, como exploração do protocolo de área de trabalho remota (RDP), comprometimento drive-by, campanhas de phishing, abuso de contas válidas e exploração de aplicativos voltados para o público. Depois de infectar o sistema, o malware toma medidas para estabelecer persistência, escalar privilégios, realizar movimentos laterais e excluir arquivos de log, arquivos na pasta da lixeira e cópias de sombra, antes de iniciar a rotina de criptografia.
“Afiliadas do LockBit foram observadas usando várias ferramentas freeware e de código aberto durante suas invasões”, observa o comunicado. “Essas ferramentas são usadas para uma série de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos.”
Veja isso
Grupo LockBit afirma ter roubado dados da SpaceX
Lockbit vaza dados atribuídos à Thales, empresa nega incidente
Os operadores do LockBit 3.0 usam o Stealbit, uma ferramenta de exfiltração personalizada usada anteriormente com o LockBit 2.0, um gerenciador de armazenamento em nuvem de linha de comando de código aberto e serviços de compartilhamento de arquivos publicamente disponíveis, como o MEGA, para exfiltrar arquivos de dados confidenciais da empresa antes da criptografia.
Para evitar ser infectada com o ransomware LockBit 3.0, as organizações são aconselhadas a implementar proteções de segurança, incluindo a criação e implementação de um plano de recuperação, usando senhas fortes para todas as contas, implementando autenticação multifator resistente a phishing, mantendo todos os sistemas e software atualizados, implementando segmentação de rede, instalação de detecção em tempo real para software antivírus, criação de backups de todos os dados, desativação de portas e serviços não utilizados e auditoria de contas de usuário.
