Злоумышленники продолжают использовать утекший билдер шифровальщика LockBit для кибератак

Злоумышленники продолжают использовать утекший в 2022 году вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда.

В 2024 году эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок в инцидентах в нескольких странах.

Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утекший билдер могли использовать и конкуренты группы LockBit.

Функции распространения в сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учетные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения в сети.

Поскольку злоумышленники завладели учетными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учетных данных могла самостоятельно распространяться в сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.

Билдер позволяет также злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, то они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учетные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определенных файлов, например, всех файлов xlsx и docx, или определенных систем.

«Чаще всего злоумышленники используют преимущественно стандартную или слегка измененную конфигурацию утекшего билдера, но не исключено, что в будущем возможны такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться в сети», — комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».

Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям:

— своевременно устанавливать обновления ПО на всех системах;

— применять многофакторную аутентификацию для доступа к важным ресурсам;

— создавать резервные копии критичных данных;

— отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки;

— регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия;

— регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и как их избежать;

— использовать надежное защитное решение, такое как Kaspersky Security для бизнеса, а также сервис Managed Detection and Response (MDR) для проактивного мониторинга угроз.