Злоумышленники продолжают использовать утекший билдер шифровальщика LockBit для кибератак
Злоумышленники продолжают использовать утекший в 2022 году вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда.
В 2024 году эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок в инцидентах в нескольких странах.
Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утекший билдер могли использовать и конкуренты группы LockBit.
Функции распространения в сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учетные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения в сети.
Поскольку злоумышленники завладели учетными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учетных данных могла самостоятельно распространяться в сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.
Билдер позволяет также злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, то они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учетные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определенных файлов, например, всех файлов xlsx и docx, или определенных систем.
«Чаще всего злоумышленники используют преимущественно стандартную или слегка измененную конфигурацию утекшего билдера, но не исключено, что в будущем возможны такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться в сети», — комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».
Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям:
— своевременно устанавливать обновления ПО на всех системах;
— применять многофакторную аутентификацию для доступа к важным ресурсам;
— создавать резервные копии критичных данных;
— отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки;
— регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия;
— регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и как их избежать;
— использовать надежное защитное решение, такое как Kaspersky Security для бизнеса, а также сервис Managed Detection and Response (MDR) для проактивного мониторинга угроз.
В нашем Telegram-канале много интересного, важные и новые события. Наш Instagram. Подписывайтесь!