อัปเดต] 31 สิงหาคม 2023: ดูหัวข้อย่อย: “การต่อสู้ในการปฏิบัติงานของ LockBit ภัยคุกคามที่ว่างเปล่า และไฟกระชากฉับพลัน”
[อัปเดต] 3 กรกฎาคม 2023: LockBit อ้างว่าแฮ็ก Taiwan Semiconductor Manufacturing Company (TSMC) แต่ TSMC ชี้แจงว่ามีการละเมิด Kinmax Technology ซึ่งเป็นซัพพลายเออร์เพียงรายเดียว เพิ่มหัวข้อย่อย: “TSMC ยืนยันการแฮ็กซัพพลายเออร์ตามการเรียกร้องของ Lockbit”
[อัปเดต] 23 มิถุนายน 2023: มีรายงานว่า LockBit กำลังพัฒนาแรนซัมแวร์ที่สามารถกำหนดเป้าหมายระบบได้กว้างขึ้น โดยเพิ่มหัวข้อย่อย: “LockBit พยายามขยายการเข้าถึงไปยังสถาปัตยกรรมที่แตกต่างกัน: Apple, Linux, FreeBSD”
[อัปเดต] 15 มิถุนายน 2566: LockBit ถูกระบุว่าเป็นกลุ่มแรนซัมแวร์ระดับโลกที่มีการใช้งานมากที่สุดและผู้ให้บริการ RaaS โดยพิจารณาจากจำนวนเหยื่อบนไซต์ข้อมูลรั่วไหล เพิ่มภายใต้หัวข้อย่อย “กลุ่ม Ransomware ที่มีการใช้งานมากที่สุดในปี 2022: LockBit”
ความถี่ของการโจมตีแรนซัมแวร์เพิ่มขึ้นทุกปี กลุ่มเดียวคือ LockBit Ransomware Group ซึ่งรับผิดชอบต่อการโจมตีมากกว่าหนึ่งในสามของการโจมตีแรนซัมแวร์ทั้งหมดในช่วงครึ่งหลังของปีที่แล้ว ซึ่งเป็นไตรมาสแรกของปี 2566
LockBit Ransomware Group ถูกตรวจพบครั้งแรกในเดือนกันยายน 2019 และกลายเป็นกลุ่มแรนซัมแวร์ที่มีการใช้งานมากที่สุดในปี 2022 ด้วยการปิดตัวของ Conti และในช่วงไตรมาสแรกของปี 2023 พวกเขายังคงโดดเด่นในฐานะกลุ่มแรนซัมแวร์ที่มีการใช้งานมากที่สุด กลุ่มนี้มีบันทึกการประกาศเหยื่อมากกว่า 1,500 รายการบนแพลตฟอร์ม SOCRadar ทำลายสถิติในไตรมาสแรกของปี 2566 ในฐานะกลุ่มแรนซัมแวร์ที่มีการใช้งานมากที่สุด ณ ขณะนี้ โดยมีการประกาศเหยื่อมากกว่า 300 ราย
Atento ซึ่งเป็นบริษัท CRM แสดงให้เห็นถึงผลกระทบของการโจมตีโดย LockBit โดยมีมูลค่า 42.1 ล้านเหรียญสหรัฐในรายงานประสิทธิภาพทางการเงินที่เผยแพร่ในปี 2564 34.8 ล้านเหรียญสหรัฐเกิดจากการสูญเสียรายได้ และ 7.3 ล้านเหรียญสหรัฐเป็นค่าใช้จ่ายในการบรรเทาผลกระทบ แม้ว่าตัวเลขทางดาราศาสตร์เหล่านี้อาจแตกต่างกันไปในแต่ละบริษัท แต่ความสูญเสียทางการเงินทั้งหมดที่เกิดจากการกระทำที่เป็นอันตรายของ LockBit อาจมีมูลค่าเกินกว่าพันล้านดอลลาร์
ประกาศนับเหยื่อจนถึงปี 2023
นักวิจัยด้านความปลอดภัยยังพบสายพันธุ์ใหม่และหลักฐานที่กลุ่มที่รับผิดชอบ LockBit 3.0 วางแผนที่จะขยายขีดความสามารถในการติดมัลแวร์ แม้ว่า LockBit 3.0 เวอร์ชันล่าสุดจะกำหนดเป้าหมายเซิร์ฟเวอร์ Windows, Linux และ VMware ESXi ก่อนหน้านี้ แต่ก็มีการระบุตัวเข้ารหัส LockBit เวอร์ชันใหม่ที่อาจส่งผลต่อ CPU ของ macOS, ARM, FreeBSD, MIPS และ SPARC เมื่อพิจารณาจากปริมาณการโจมตีที่มากของกลุ่มแล้ว ก็มีแนวโน้มว่าพวกเขาจะยังคงเพิ่มจำนวนอุปกรณ์เป้าหมายต่อไป ซึ่งอาจส่งผลให้เกิดการโจมตี LockBit เพิ่มขึ้นอย่างมากในเร็วๆ นี้
มัลแวร์เรียกค่าไถ่ MacOS/Linux สายพันธุ์ LockBit (ที่มา: Virustotal)
Who is LockBit 3.0 Ransomware Group
LockBit 3.0 เป็นกลุ่ม Ransomware-as-a-Service (RaaS) ที่สานต่อมรดกของ LockBit และ LockBit 2.0 ตั้งแต่เดือนมกราคม 2020 LockBit ได้นำแนวทางแรนซัมแวร์แบบพันธมิตรมาใช้ โดยที่บริษัทในเครือใช้กลยุทธ์ต่างๆ เพื่อกำหนดเป้าหมายธุรกิจที่หลากหลายและองค์กรโครงสร้างพื้นฐานที่สำคัญ LockBit มีบทบาทอย่างมากในการปรับใช้โมเดลต่างๆ เช่น การขู่กรรโชกซ้ำซ้อน บริษัทในเครือนายหน้าการเข้าถึงเบื้องต้น และการโฆษณาบนฟอรัมของแฮ็กเกอร์ เป็นที่ทราบกันดีว่าพวกเขารับสมัครคนวงในและแข่งขันกันในฟอรัมเพื่อสรรหาแฮกเกอร์ที่มีทักษะ นโยบายการขยายตัวดังกล่าวได้ดึงดูดบริษัทในเครือจำนวนมาก ตกเป็นเหยื่อของหน่วยงานนับพัน และดำเนินการที่เป็นอันตรายต่อไป
LockBit Ransomware Group ยังรันโปรแกรมค่าหัวบั๊กของตัวเองอีกด้วย
LockBit Black หรือที่รู้จักกันในชื่อ LockBit 3.0 ได้รับการเรียกคืนเป็น LockBit เวอร์ชันล่าสุดตั้งแต่เดือนกรกฎาคม 2022 หนึ่งในความแตกต่างที่สำคัญจากรุ่นก่อนคือความสามารถในการปรับแต่งตัวเลือกต่างๆ ในระหว่างการรวบรวมและการดำเนินการของเพย์โหลด LockBit 3.0 ใช้วิธีการแบบโมดูลาร์และเข้ารหัสเพย์โหลดจนกระทั่งดำเนินการ ซึ่งนำเสนออุปสรรคสำคัญต่อการวิเคราะห์และการตรวจจับมัลแวร์
LockBit เปิดเผยเหยื่อบนเว็บไซต์ที่รั่วไหลและกำหนดเส้นตายสำหรับการเรียกค่าไถ่
เป้าหมายของ LockBit 3.0 คืออะไร
LockBit 3.0 จะทำให้ระบบเป้าหมายติดเชื้อ หากไม่อยู่ในรายการยกเว้นของภาษาใดภาษาหนึ่ง ภาษาที่ยกเว้น ได้แก่ ภาษาท้องถิ่นของประเทศที่ได้รับอิทธิพลจากรัสเซียและภาษาของประเทศพันธมิตรรัสเซีย
เพื่อยืนยันตำแหน่งของระบบเป้าหมาย LockBit ransomware จะใช้ฟังก์ชันต่างๆ:
- GetSystemDefaultUILanguage()
- GetUserDefaultUILanguage()
มันจะตรวจสอบผลลัพธ์กับกลุ่มประเทศ และในกรณีที่สถานที่ไม่ตรงกับประเทศที่ระบุ มัลแวร์จะดำเนินการขั้นตอนการตรวจสอบในภายหลัง ภาษาบางภาษาที่ยกเว้น ได้แก่ ภาษาโรมาเนีย (มอลโดวา) อารบิก (ซีเรีย) และตาตาร์ (รัสเซีย) แต่รายการนี้ยังไม่ใช่รายการทั้งหมด
แม้ว่ากลุ่มแรนซั่มแวร์จะอ้างว่าไม่ได้เกี่ยวข้องกับการเมือง แต่เป้าหมายจำนวนมากดูเหมือนจะเป็น NATO และประเทศพันธมิตร จากข้อมูลของ SOCRadar ประมาณครึ่งหนึ่งของการโจมตีด้วยตัวแปร LockBit 3.0 ส่งผลกระทบต่อบริษัทในสหรัฐฯ
เหยื่อ Ransomware ของ LockBit 3.0 ตามประเทศต้นทาง
ตามข้อมูลของ SOCRadar อีกครั้ง การผลิตเป็นผู้นำแบบรายสาขา แต่ก็เป็นไปไม่ได้ที่จะระบุอุตสาหกรรมที่เป็นเป้าหมายโดยเฉพาะ ความจริงที่ว่าการดูแลสุขภาพและการศึกษาเป็นหนึ่งในภาคส่วนที่พวกเขากำหนดเป้าหมายมากที่สุดเผยให้เห็นว่าไม่มีอุตสาหกรรมใดถูกยกเว้น และในแง่ของประเภทธุรกิจ อย่างไรก็ตาม พบว่ามักจะกำหนดเป้าหมายไปที่องค์กรขนาดเล็กหรือขนาดกลาง บริษัทขนาดใหญ่ เช่น บริษัทไอที Accenture ก็สามารถตกเป็นเหยื่อของ LockBit ได้เช่นกัน
อุตสาหกรรมเป้าหมายสูงสุดโดย LockBit 3.0
การค้นพบ LockBit 3.0 Ransomware
ตามคำแนะนำของ CISA:
LockBit 3.0 ซึ่งเป็น Ransomware-as-a-Service (RaaS) มีตัวเลือกมากมายสำหรับการกำหนดค่าลักษณะการทำงานระหว่างการคอมไพล์ เมื่อดำเนินการในระบบของเหยื่อแล้ว บริษัทในเครือ LockBit 3.0 จะสามารถปรับเปลี่ยนพฤติกรรมของตนได้โดยใช้ข้อโต้แย้งเพิ่มเติม เช่น การเคลื่อนไหวด้านข้างหรือเซฟโหมด หากบริษัทในเครือ LockBit ไม่สามารถเข้าถึงแรนซัมแวร์เวอร์ชันไร้รหัสผ่านได้ พวกเขาจะต้องระบุรหัสผ่านในระหว่างการดำเนินการ คีย์การเข้ารหัสที่ให้มาจะถอดรหัสปฏิบัติการของแรนซัมแวร์เพื่อปกป้องไฟล์ที่เข้ารหัสที่อัปโหลดไปยังระบบเป้าหมาย
บริษัทในเครือ LockBit 3.0 ใช้วิธีการที่หลากหลายสำหรับการเข้าถึงครั้งแรก รวมถึงการใช้ประโยชน์จาก RDP การเปิดตัวแคมเปญฟิชชิ่ง และการใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันที่เปิดเผยต่อสาธารณะ การใช้ตัวติดตั้งแพ็คเกจโอเพ่นซอร์สที่เรียกว่า Chocolatey เพื่อติดตั้งและดำเนินการเพย์โหลดที่เป็นอันตรายเป็นคุณสมบัติที่เกิดซ้ำในการโจมตี LockBit 3.0 ซึ่งน่าจะใช้เพื่อหลบเลี่ยงการตรวจจับ
LockBit 3.0 ใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ดหรือบัญชีท้องถิ่นที่ถูกบุกรุกพร้อมสิทธิพิเศษระดับสูงในการแพร่กระจายผ่านเครือข่ายของเหยื่อ การใช้โปรโตคอล Server Message Block (SMB) ก็สามารถแพร่กระจายผ่าน Group Policy Objects และ PsExec ได้เช่นกัน หลังจากการเข้ารหัส LockBit 3.0 จะส่งบันทึกเรียกค่าไถ่และเปลี่ยนวอลเปเปอร์และไอคอนของโฮสต์เป็นแบรนด์ LockBit นอกจากนี้ยังอาจส่งข้อมูลโฮสต์และบอทที่เข้ารหัสไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม
หมายเหตุแรนซัมแวร์ของ LockBit 3.0 ในรูปแบบวอลเปเปอร์ (ที่มา: CISA)
บริษัทในเครือ LockBit 3.0 ถอนไฟล์ข้อมูลบริษัทที่มีความละเอียดอ่อนก่อนการเข้ารหัสโดยใช้เครื่องมือ Stealbit, rclone และเครื่องมือกรองที่ LockBit ใช้บริการแชร์ไฟล์สาธารณะและบริการทั่วไป บริษัทในเครือของพวกเขายังใช้บริการแชร์ไฟล์สาธารณะอื่น ๆ เพื่อขโมยข้อมูล ผู้คุกคามของ LockBit ใช้เครื่องมือต่างๆ เช่น ProDump และ SoftPerfect Network Scanner เพื่อรวบรวมข้อมูลเกี่ยวกับชื่อโฮสต์ บริการเครือข่าย และโปรโตคอลการเข้าถึงระยะไกล พวกเขายังใช้ซอฟต์แวร์เดสก์ท็อประยะไกล เครื่องมือถ่ายโอนไฟล์ยอดนิยม และ PuTTY Link เพื่อย้ายระหว่างโฮสต์และถ่ายโอนไฟล์ระหว่างโฮสต์ที่ถูกบุกรุกและเซิร์ฟเวอร์คำสั่งและควบคุม
LockBit ransomware จะลบไฟล์บันทึก ไฟล์ในถังรีไซเคิล และสำเนาเงาของไดรฟ์ข้อมูลหลังจากเข้ารหัสไฟล์ของเหยื่อ กลุ่มนี้ยังใช้วิธีการเข้ารหัสแบบไฮบริดโดยใช้อัลกอริธึมการเข้ารหัส AES และ RSA
ภาพรวมของการทำงานของ LockBit โดยทั่วไป (ที่มา: ศูนย์ความมั่นคงทางไซเบอร์แห่งออสเตรเลีย)
กลุ่มแรนซัมแวร์ที่มีการใช้งานมากที่สุดในปี 2022: LockBit
กลุ่ม LockBit รับผิดชอบต่อการโจมตีแรนซัมแวร์ประมาณหนึ่งในหกที่กำหนดเป้าหมายไปที่หน่วยงานรัฐบาลของสหรัฐอเมริกาในปี 2565 ตามรายงานของหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA), FBI และหน่วยงานความปลอดภัยทางไซเบอร์อื่น ๆ
ในความพยายามร่วมกัน หน่วยงานต่างๆ ได้เผยแพร่การทดสอบ LockBit อย่างครอบคลุม ซึ่งถือเป็นตัวแปรเรียกค่าไถ่ที่มีการใช้งานกันอย่างแพร่หลายทั่วโลกในปี 2022
LockBit ดำเนินการโจมตีเกือบ 1,700 ครั้งและได้รับเงิน 91 ล้านดอลลาร์จากเหยื่อในสหรัฐอเมริกา
หน่วยงานเปิดเผยว่า LockBit ได้อ้างความรับผิดชอบต่อการโจมตีแรนซัมแวร์อย่างน้อย 1,653 ครั้งโดยระบุรายชื่อเหยื่อบนไซต์ที่รั่วไหล และนับตั้งแต่การโจมตีครั้งแรกในสหรัฐอเมริกาในเดือนมกราคม 2020 กลุ่มนี้ได้รีดไถเงินประมาณ 91 ล้านดอลลาร์จากเหยื่อในสหรัฐอเมริกา
ประเทศที่เข้าร่วมแต่ละประเทศแบ่งปันสถิติที่แสดงให้เห็นถึงความแพร่หลายของ LockBit ในภูมิภาคของตน ตัวอย่างเช่น ออสเตรเลียรายงานว่าแก๊งค์ดังกล่าวคิดเป็น 18% ของเหตุการณ์แรนซัมแวร์ที่รายงานทั้งหมดในปีที่ผ่านมา LockBit เป็นผู้รับผิดชอบต่อการโจมตีมากกว่า 20% ในแคนาดาและนิวซีแลนด์ในปี 2022
ในสหรัฐอเมริกา LockBit กำหนดเป้าหมายไปที่หน่วยงานสาธารณะ รวมถึงหน่วยงานเทศบาลและหน่วยงานของรัฐ สถาบันการศึกษาของรัฐ และบริการฉุกเฉิน เช่น หน่วยงานบังคับใช้กฎหมาย ซึ่งคิดเป็น 16% ของการโจมตี
ผลกระทบที่เพิ่มขึ้นของ LockBit
คำแนะนำเกี่ยวกับ CISA สรุปกลยุทธ์ของ LockBit และช่องโหว่ที่ถูกโจมตี โดยเน้นถึงการใช้งานของกลุ่มบริษัทในเครือที่ใช้วิธีการที่หลากหลายในการละเมิดองค์กร บริษัทในเครือบางแห่งยังใช้ประโยชน์จากช่องโหว่ยอดนิยมเช่น Log4j
LockBit ดำเนินงานในฐานะ Ransomware-as-a-Service (RaaS) ดึงดูดบริษัทในเครือให้ทำการโจมตีแรนซัมแวร์ที่หลากหลาย นอกจากนี้ CERT NZ ยังสังเกตเห็นว่าบริษัทในเครือของ LockBit มีส่วนร่วมในการขู่กรรโชกแรนซัมแวร์รองโดยกำหนดเป้าหมายไปที่องค์กรที่รับผิดชอบในการจัดการเครือข่ายอื่นๆ หลังจากแพร่ระบาดไปยังเป้าหมายหลักแล้ว บริษัทในเครือจะดำเนินการขู่กรรโชกบริษัทลูกค้าโดยใช้แรนซัมแวร์รอง เพื่อล็อคบริการที่พวกเขาใช้ การค้นพบนี้เน้นย้ำถึงการเข้าถึงที่กว้างขวางของ LockBit และเครือข่ายการกระจายอำนาจของผู้แสดงภัยคุกคามที่เกี่ยวข้องกับการโจมตีเหล่านี้
LockBit ได้ปรับปรุงการดำเนินงานอย่างต่อเนื่อง โดยพัฒนาผ่านหลายเวอร์ชันนับตั้งแต่ LockBit Red เช่น LockBit 2.0 และ LockBit 3.0 (LockBit Black) กลุ่มนี้ได้รวมเครื่องมือจากแรนซัมแวร์สายพันธุ์อื่นๆ เช่น BlackMatter และ ALPHV (BlackCat Ransomware) เข้ากับ LockBit 3.0 ในเดือนมกราคม ปี 2023 LockBit ได้เปิดตัว LockBit Green ซึ่งประกอบด้วยซอร์สโค้ดจากแรนซัมแวร์ Conti ที่สิ้นสุดแล้ว
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้กล่าวถึงแนวทางที่โดดเด่นของ LockBit ในการปรับปรุงโมเดลอย่างต่อเนื่อง การเปิดตัว LockBit 2.0 ในช่วงกลางปี 2564 มีผลกระทบทันทีต่อตลาดอาชญากรไซเบอร์
LockBit พยายามขยายการเข้าถึงไปยังสถาปัตยกรรมที่แตกต่างกัน: Apple, Linux, FreeBSD
มีรายงานว่า LockBit กำลังพัฒนาแรนซัมแวร์ที่สามารถกำหนดเป้าหมายระบบได้กว้างขึ้น ขยายไปไกลกว่าสภาพแวดล้อม Windows
นักวิจัยจาก Kaspersky เพิ่งค้นพบไฟล์ ZIP ที่มีตัวอย่างมัลแวร์ LockBit ซึ่งกำหนดเป้าหมายไปที่ FreeBSD, Linux และเทคโนโลยีฝังตัวต่างๆ รวมถึงสถาปัตยกรรมชุดคำสั่ง CPU ที่หลากหลาย รวมถึง ARM, MIPS, ESA/390, PowerPC และแม้แต่ชิป Apple M1 ที่ใช้ใน Mac และอุปกรณ์ไอแพด
นักวิจัยระบุว่าตัวอย่างเหล่านี้มาจากรูปแบบการเข้ารหัสรุ่นก่อนหน้าของ LockBit ซึ่งผู้คุกคามใช้ในการกำหนดเป้าหมาย VMWare ESXiservers อย่างไรก็ตาม ตัวอย่างยังคงอยู่ระหว่างการพัฒนาเนื่องจากบางตัวอย่างไม่ได้ลงนามและยังไม่สามารถดำเนินการได้
ถึงกระนั้น ความจริงที่ว่า LockBit พยายามพัฒนาแรนซัมแวร์ดังกล่าว บ่งบอกถึงแนวโน้มที่เพิ่มขึ้นในหมู่นักแสดงแรนซัมแวร์ในการขยายแพลตฟอร์มเป้าหมายของพวกเขา หากปล่อยออกมา แรนซัมแวร์สายพันธุ์ใหม่เหล่านี้อาจสร้างความท้าทายใหม่ๆ ให้กับเหยื่อ และสร้างจุดยืนของ LockBit ในด้านภัยคุกคามที่กำลังพัฒนาต่อไป
TSMC ยืนยันการแฮ็กซัพพลายเออร์ตามการเรียกร้องของ Lockbit
บริษัท Taiwan Semiconductor Manufacturing Company (TSMC) ยืนยันว่าซัพพลายเออร์ฮาร์ดแวร์รายหนึ่งถูกแฮ็ก แต่มั่นใจว่าจะไม่ส่งผลกระทบต่อการดำเนินงานหรือข้อมูลลูกค้า
กลุ่มนี้เรียกร้องค่าไถ่ 70 ล้านดอลลาร์จาก TSMC แต่ไม่มีข้อบ่งชี้ว่ามีแผนจะจ่ายเงินใด ๆ
การเปิดเผยการแฮ็ก TSMC บนไซต์รั่วของ Lockbit
ซัพพลายเออร์ Kinmax รับทราบการละเมิดในสภาพแวดล้อมการทดสอบภายใน ซึ่งมีการเตรียมการติดตั้งระบบสำหรับลูกค้า TSMC ยุติการแลกเปลี่ยนข้อมูลกับ Kinmax ทันทีหลังจากการละเมิด
Kinmax ได้ขออภัยต่อลูกค้าที่ได้รับผลกระทบและใช้มาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุงเพื่อป้องกันเหตุการณ์ในอนาคต
การต่อสู้ในการปฏิบัติงานของ LockBit ภัยคุกคามที่ว่างเปล่า และไฟกระชากฉับพลัน
ขอบเขตความปลอดภัยทางไซเบอร์ได้มีส่วนร่วมในการอภิปรายเกี่ยวกับสถานการณ์ของ LockBit มาระยะหนึ่งแล้ว นักวิจัยรายงานว่ามีความท้าทายในการปฏิบัติงานภายในแก๊งแรนซัมแวร์
ความท้าทายของแก๊งค์นี้ส่งผลให้คุณภาพของกิจกรรมแรนซัมแวร์ลดลงอย่างเห็นได้ชัด อย่างไรก็ตาม แก๊งฉาวโฉ่ยังคงนำเสนอเรื่องราวที่ชัดเจนในการสื่อสารของพวกเขา
อย่างไรก็ตาม แม้ว่าจะยังคงรักษารูปลักษณ์ภายนอกเอาไว้ แต่ข้อสังเกตของนักวิจัยก็ถือเป็นเรื่องจริง – LockBit สะดุดล้มอย่างต่อเนื่องในความพยายามที่จะเปิดเผยข้อมูลที่ถูกขโมยไปจริงๆ การขาดการเชื่อมต่อระหว่างคำกล่าวอ้างและการกระทำของพวกเขาได้นำไปสู่ข้อสรุปว่าภัยคุกคามของพวกเขานั้นกลวงๆ โดยอาศัยชื่อเสียงอันโด่งดังของพวกเขาเพียงอย่างเดียวในการกดดันให้เหยื่อต้องจ่ายค่าไถ่
ในขณะที่การอภิปรายเหล่านี้ยังคงมีอยู่ เหตุการณ์ล่าสุดก็เกิดขึ้นข้างหน้า หลังจากไม่มีการใช้งานเป็นระยะเวลาหลายเดือน กลุ่มมัลแวร์เรียกค่าไถ่ LockBit ได้ระบุรายชื่อเหยื่อมากกว่า 20 รายภายในวันเดียว
ทวีตล่าสุดจาก vx-underground ไม่เพียงแต่ยืนยันกิจกรรมที่เพิ่มขึ้น แต่ยังเน้นย้ำว่าแก๊งค์ได้จัดทำดัชนีเว็บไซต์ใหม่ทั้งหมดแล้ว ณ วันที่ 31 สิงหาคม 2023 ไซต์ที่ได้รับการปรับปรุงใหม่ในขณะนี้มีรายชื่อเหยื่อก่อนหน้านี้กว่า 100 รายที่คาดว่าข้อมูลรั่วไหล
เนื่องจากการรั่วไหลเหล่านี้เกิดขึ้นหลังจากการกล่าวอ้างเกี่ยวกับการต่อสู้ดิ้นรนของ LockBit ดูเหมือนว่าแก๊งค์กำลังพยายามหักล้างการยืนยันและลดผลกระทบต่อชื่อเสียงของแก๊งค์
การรั่วไหลล่าสุดของ LockBit
บทสรุป
โดยสรุป LockBit 3.0 เป็นกลุ่ม Ransomware-as-a-Service (RaaS) ที่มีการใช้งานสูงและกำลังขยายตัว ซึ่งได้ตกเป็นเหยื่อขององค์กรหลายพันแห่งทั่วโลก และใช้กลยุทธ์ เทคนิค และขั้นตอนต่างๆ เนื่องจากมีบริษัทในเครือจำนวนมาก ยิ่งไปกว่านั้น มีความเป็นไปได้สูงที่จำนวนเหยื่อและกลุ่มเป้าหมายจะเพิ่มขึ้นเรื่อยๆ ซึ่งนำไปสู่การโจมตี LockBit ที่เพิ่มขึ้นอย่างเห็นได้ชัดในอีกไม่กี่วันข้างหน้า โดยเฉพาะอย่างยิ่งหากพวกเขากลายเป็นแรนซัมแวร์ตัวแรกที่ส่งผลกระทบต่ออุปกรณ์ IOS การกำหนดเป้าหมายของกลุ่มไปยังหลายประเทศและภาคส่วนต่างๆ และความพยายามของกลุ่มในการเพิ่มจำนวนระบบที่สามารถแพร่เชื้อได้ ยังแสดงให้เห็นว่ากลุ่มนี้ก่อให้เกิดอันตรายอย่างมากต่อทุกองค์กร
SOCRadar สามารถช่วยได้อย่างไร?
บริษัทในเครือ LockBit มักใช้แคมเปญฟิชชิ่งเพื่อเข้าถึงการโจมตีแรนซัมแวร์เบื้องต้น เพื่อป้องกันสิ่งนี้ องค์กรต่างๆ สามารถใช้ Digital Risk Protection ของ SOCRadar เพื่อการปกป้องแบรนด์ ซึ่งจะปฏิเสธแคมเปญฟิชชิ่งที่อาจแอบอ้างเป็นโดเมนในเชิงรุก
SOCRadar DRP โมดูลตรวจสอบเว็บมืด
นอกจากนี้ บริษัทในเครือ LockBit ยังใช้อีเมลขยะที่มีเอกสารที่เป็นอันตราย และอาจใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึง เพื่อป้องกันสิ่งเหล่านี้ จึงจำเป็นอย่างยิ่งที่ต้องใช้การรับรองความถูกต้องแบบหลายปัจจัย และระมัดระวังเมื่อเปิดไฟล์แนบในอีเมล
ขั้นตอนที่สำคัญที่สุดในการป้องกันการโจมตีจากแรนซัมแวร์คือการสำรองข้อมูลแบบออฟไลน์ อย่างไรก็ตาม กลุ่มนี้ใช้รูปแบบการขู่กรรโชกซ้ำซ้อน โดยขโมยข้อมูลของเหยื่อก่อนที่จะเข้ารหัส แม้แต่การสำรองข้อมูลแบบออฟไลน์ก็ไม่เพียงพอที่จะหลีกเลี่ยงการจ่ายค่าไถ่ องค์กรควรตระหนักถึงช่องโหว่ในสภาพแวดล้อมของตนเพื่อป้องกันสิ่งนี้ ซึ่งสามารถทำได้ด้วย Attack Surface Management ของ SOCRadar ช่วยให้มองเห็นสินทรัพย์ดิจิทัลที่ต้องเผชิญกับภายนอก ช่วยให้ทีมรักษาความปลอดภัยสามารถติดตามช่องโหว่และจำกัดพื้นที่การโจมตีที่ผู้ให้บริการแรนซัมแวร์อาจหาประโยชน์ได้
การจัดการพื้นผิวการโจมตี SOCRadar
MITER ATT&CK TTP
| Tactics | Technique | ID |
| Initial Access | Valid Accounts | T1078 |
| Exploit External Remote Services | T1133 | |
| Drive-by Compromise | T1189 | |
| Exploit Public-Facing Application | T1190 | |
| Phishing | T1566 | |
| Execution | Execution | TA0002 |
| Software Deployment Tools | T1072 | |
| Persistence | Valid Accounts | T1078 |
| Boot or Logo Autostart Execution | T1547 | |
| Privilege Escalation | Privilege Escalation | TA0004 |
| Boot or Logo Autostart Execution | T1547 | |
| Defense Evasion | Obfuscated Files or Information | T1027 |
| Indicator Removal: File Deletion | T1070.004 | |
| Execution Guardrails: Environmental Keying | T1480.001 | |
| Credential Access | OS Credential Dumping: LSASS Memory | T1003.001 |
| Discovery | Network Service Discovery | T1046 |
| System Information Discovery | T1082 | |
| System Location Discovery: System Language Discovery | T1614.001 | |
| Lateral Movement | Remote Services: Remote Desktop Protocol | T1021.001 |
| Command and Control | Application Layer Protocol: File Transfer Protocols | T1071.002 |
| Protocol Tunnel | T1572 | |
| Exfiltration | Exfiltration | TA0010 |
| Exfiltration Over Web Service | T1567 | |
| Exfiltration Over Web Service: Exfiltration to Cloud Storage | T1567.002 | |
| Impact | Data Destruction | T1485 |
| Data Encrypted for Impact | T1486 | |
| Service Stop | T1489 | |
| Inhibit System Recovery | T1490 | |
| Defacement: Internal Defacement | T1491.001 |
CVE ทั่วไปที่ถูกใช้ประโยชน์โดยบริษัทในเครือ LockBit
CISA ตั้งข้อสังเกตว่าบริษัทในเครือ LockBit ใช้ประโยชน์จากช่องโหว่ทั้งเก่าและใหม่ ซึ่งรวมถึง:
- CVE-2021-22986: F5 iControl REST ช่องโหว่การเรียกใช้โค้ดระยะไกลที่ไม่ได้รับอนุญาต
- CVE-2023-0669: Fortra GoAnyhwere Managed File Transfer (MFT) ช่องโหว่การเรียกใช้โค้ดจากระยะไกล
- CVE-2023-27350: PaperCut MF/NG ช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสม
- CVE-2021-44228: ช่องโหว่การเรียกใช้โค้ดระยะไกลของ Apache Log4j2
- CVE-2021-22986: F5 BIG-IP และ BIG-IQ การจัดการแบบรวมศูนย์ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล iControl REST
- CVE-2020-1472: ช่องโหว่การยกระดับสิทธิ์ NetLogon
- CVE-2019-0708: ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Remote Desktop Services
- CVE-2018-13379: Fortinet FortiOS Secure Sockets Layer (SSL) ช่องโหว่เส้นทางเครือข่ายส่วนตัวเสมือน (VPN)
ดูรายการช่องโหว่ที่รู้จักใช้ประโยชน์ (KEV) ของ CISA สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าว
เครื่องมือที่ใช้โดยบริษัทในเครือ LockBit
LockBit ได้รับการระบุว่าใช้เครื่องมือต่อไปนี้ ตามรายการ CISA:
| Tool | Intended Use | Repurposed Use by LockBit Affiliates | MITRE ATT&CK ID |
| 7-zip | Compresses files into an archive. | Compresses data to avoid detection before exfiltration. | T1562 |
| AdFind | Searches Active Directory (AD) and gathers information. | Gathers AD information used to exploit a victim’s network, escalate privileges, and facilitate lateral movement. | S0552 |
| Advanced Internet Protocol (IP) Scanner | Performs network scans and shows network devices. | Maps a victim’s network to identify potential access vectors. | T1046 |
| Advanced Port Scanner | Performs network scans. | Finds open Transmission Control Protocol (TCP) and User Data Protocol (UDP) ports for exploitation. | T1046 |
| AdvancedRun | Allows software to be run with different settings. | Enables escalation of privileges by changing settings before running software. | TA0004 |
| AnyDesk | Enables remote connections to network devices. | Enables remote control of the victim’s network devices. | T1219 |
| Atera Remote Monitoring & Management (RMM) | Enables remote connections to network devices. | Enables remote control of the victim’s network devices. | T1219 |
| Backstab | Terminates antimalware-protected processes. | Terminates endpoint detection and response (EDR)- protected processes. | T1562.001 |
| Bat Armor | Generates .bat files using PowerShell scripts. | Bypasses PowerShell execution policy. | T1562.001 |
| Bloodhound | Performs reconnaissance of AD for attack path management. | Enables identification of AD relationships that can be exploited to gain access to a victim’s network. | T1482 |
| Chocolatey | Handles command-line package management on Microsoft Windows. | Facilitates installation of LockBit affiliate actors’ tools. | T1072 |
| Defender Control | Disables Microsoft Defender. | Enables LockBit affiliate actors to bypass Microsoft Defender. | T1562.001 |
| ExtPassword | Recovers passwords from Windows systems. | Obtains credentials for network access and exploitation. | T1003 |
| FileZilla | Performs cross-platform File Transfer Protocol (FTP) to a site, server, or host. | Enables data exfiltration over FTP to the LockBit affiliate actors’ site, server, or host. | T1071.002 |
| FreeFileSync | Facilitates cloud-based file synchronization. | Facilitates cloud-based file synchronization for data exfiltration. | T1567.002 |
| GMER | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
| Impacket | Collection of Python classes for working with network protocols. | Enables lateral movement on a victim’s network. | S0357 |
| LaZagne | Recovers system passwords across multiple platforms. | Collect credentials for accessing a victim’s systems and network. | S0349 |
| Ligolo | Establishes SOCKS5 or TCP tunnels from a reverse connection for pen testing. | Enables connections to systems within the victim’s network via reverse tunneling. | T1095 |
| LostMyPassword | Recovers passwords from Windows systems. | Obtains credentials for network access and exploitation. | T1003 |
| MEGA Ltd MegaSync | Facilitates cloud-based file synchronization. | Facilitates cloud-based file synchronization for data exfiltration. | T1567.002 |
| Microsoft Sysinternals ProcDump | Monitors applications for central processing unit (CPU) spikes and generates crash dumps during a spike. | Obtains credentials by dumping the contents of the Local Security Authority Subsystem Service (LSASS). | T1003.001 |
| Microsoft Sysinternals PsExec | Executes a command-line process on a remote machine. | Enables LockBit affiliate actors to control victim’s systems. | S0029 |
| Mimikatz | Extracts credentials from a system. | Extracts credentials from a system for gaining network access and exploiting systems. | S0002 |
| Ngrok | Enables remote access to a local web server by tunneling over the internet. | Enables victim network protections to be bypassed by tunneling to a system over the internet. | S0508 |
| PasswordFox | Recovers passwords from Firefox Browser. | Obtains credentials for network access and exploitation. | T1555.003 |
| PCHunter | Enables advanced task management, including system processes and kernels. | Terminates and circumvents EDR processes and services. | T1562.001 |
| PowerTool | Removes rootkits and detects, analyzes, and fixing kernel structure modifications. | Terminates and removes EDR software. | T1562.001 |
| Process Hacker | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
| PuTTY Link (Plink) | Automates Secure Shell (SSH) actions on Windows. | Enables LockBit affiliate actors to avoid detection. | T1572 |
| Rclone | Manages cloud storage files using a command-line program. | Facilitates data exfiltration over cloud storage. | S1040 |
| Seatbelt | Performs numerous security-oriented checks. | Performs numerous security-oriented checks to enumerate system information. | T1082 |
| ScreenConnect (also known as ConnectWise) | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to a victim’s systems. | T1219 |
| SoftPerfect Network Scanner | Performs network scans for systems management. | Enables LockBit affiliate actors to obtain information about a victim’s systems and network. | T1046 |
| Splashtop | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to systems over Remote Desktop Protocol (RDP). | T1021.001 |
| TDSSKiller | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
| TeamViewer | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to a victim’s systems. | T1219 |
| ThunderShell | Facilitates remote access via Hypertext Transfer Protocol (HTTP) requests. | Enables LockBit affiliate actors to remotely access systems while encrypting network traffic. | T1071.001 |
| WinSCP | Facilitates file transfer using SSH File Transfer Protocol for Microsoft Windows. | Enables data exfiltration via the SSH File Transfer Protocol. | T1048 |
IOCs
IoC จากรายงานการเริ่มต้น #StopRansomware ของหน่วยงานรัฐบาลสหรัฐฯ บน LockBit 3.0
ไซต์แชร์ไฟล์:
- https://www.premiumize[.]com
- https://anonfiles[.]com
- https://www.sendspace[.]com
- https://fex[.]net
- https://transfer[.]sh
- https://send.exploit[.]in
เครื่องมือฟรีแวร์และโอเพ่นซอร์ส:
- Chocolatey
- FileZilla
- Impacket
- MEGA Ltd MegaSync
- Microsoft Sysinternals ProcDump
- Microsoft Sysinternals PsExec
- Mimikatz
- Ngrok
- PuTTY Link (Plink)
- Rclone
- SoftPerfect Network Scanner
- Splashtop
- WinSCP
Mutex:
- Global
UAC Bypass via Elevated COM Interface:
- C:WindowsSystem32dllhost.exe
Volume Shadow Copy Deletion:
- Select * from Win32_ShadowCopy
Registry Artifacts:
- HKCR.
- HKCRDefaultIcon
- HKCUControl PanelDesktopWallPaper
- SOFTWAREPoliciesMicrosoftWindowsOOBE
- SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
IoC จากแพลตฟอร์ม SOCRadar:
| Type | Value |
IP |
212[.]102[.]39[.]138 |
IP |
194[.]32[.]122[.]35 |
IP |
178[.]175[.]129[.]35 |
IP |
178[.]162[.]209[.]138 |
IP |
178[.]162[.]209[.]137 |
IP |
172[.]93[.]181[.]238 |
IP |
156[.]146[.]41[.]94 |
IP |
216[.]24[.]213[.]7 |
IP |
37[.]46[.]115[.]29 |
IP |
37[.]46[.]115[.]26 |
IP |
37[.]46[.]115[.]24 |
IP |
37[.]46[.]115[.]17 |
IP |
37[.]46[.]115[.]16 |
IP |
212[.]102[.]35[.]149 |
IP |
178[.]175[.]129[.]37 |
IP |
91[.]90[.]122[.]24 |
SHA256 |
5fff24d4e24b54ac51a129982be591aa59664c888dd9fc9f26da7b226c55d835 |
SHA256 |
bb574434925e26514b0daf56b45163e4c32b5fc52a1484854b315f40fd8ff8d2 |
SHA256 |
9a3bf7ba676bf2f66b794f6cf27f8617f298caa4ccf2ac1ecdcbbef260306194 |
SHA1 |
e141562aab9268faa4aba10f58052a16b471988a |
SHA1 |
3d62d29b8752da696caa9331f307e067bc371231 |
SHA1 |
3d62d29b8752da696caa9331f307e067bc371231 |
MD5 |
03f82d8305ddda058a362c780fe0bc68 |
MD5 |
fd8246314ccc8f8796aead2d7cbb02b1 |
MD5 |
f41fb69ac4fccbfc7912b225c0cac59d |
MD5 |
ee397c171fc936211c56d200acc4f7f2 |
MD5 |
dfa65c7aa3ff8e292e68ddfd2caf2cea |
MD5 |
d1d579306a4ddf79a2e7827f1625581c |
MD5 |
b806e9cb1b0f2b8a467e4d1932f9c4f4 |
MD5 |
8ff5296c345c0901711d84f6708cf85f |
MD5 |
8af476e24db8d3cd76b2d8d3d889bb5c |
| MD5 | 6c247131d04bd615cfac45bf9fbd36cf |
| MD5 | 58ea3da8c75afc13ae1ff668855a63 |
เเหล่งอ้างอิง : Dark Web Profile: LockBit 3.0 Ransomware - SOCRadar® Cyber Intelligence Inc.
Leave a Reply