O grupo de ransomware LockBit na semana passada reivindicou a responsabilidade por um ataque ao fornecedor de segurança cibernética em junho. A gangue de alto perfil agora está aparentemente sob uma negação de serviço distribuída (DDoS) por causa disso.
Azim Shukuhi, pesquisador de segurança cibernética do grupo de inteligência de ameaças Talos da Cisco, escreveu em um twittou no fim de semana que “alguém está fazendo DDoS no blog Lockbit agora.” O site estava recebendo 400 solicitações por segundo de mais de 1.000 servidores e que o grupo prometeu adicionar mais recursos ao site e “drenar o dinheiro dos ddosers”, escreveu ele.
Vx-underground , que coleta código-fonte e amostras de malware, escreveu em um tweet que a LockBit disse a eles que estavam sob um ataque DDoS por causa do ataque do Entrust. Quando o Vx-underground perguntou como a gangue de ransomware sabia que era por causa do ataque Entrust, a LockBit enviou uma captura de tela das mensagens recebidas, todas referenciadas no enstrust.com.
As campanhas DDoS são projetado para interromper as operações normais de um site, sobrecarregando-o com uma enxurrada de tráfego ou mensagens da Internet. Parece estar funcionando, com relatórios dizendo que o site de vazamento do LockBit foi desativado.
O ataque DDoS ocorreu um dia após o LockBit, que usa um ransomware-as-a-service (RaaS), assumiu a responsabilidade pelo ataque Entrust, criando uma página de vazamento para o fornecedor e ameaçando liberar todos os dados que havia roubado se a empresa não pagasse o resgate exigido. A criação da página indica que a Entrust – se Lockbit era realmente o mau ator como alegado – ainda tinha que se curvar às exigências da LockBit.
A Entrust soube em 18 de junho que foi atingida por um ataque de ransomware e começou a notificar os clientes sobre isso no início de julho. Em uma carta aos clientes, o presidente e CEO da Entrust, Todd Wilkinson, escreveu que “uma parte não autorizada acessou determinados de nossos sistemas usados para operações internas.” Alguns arquivos foram retirados de sistemas internos, mas Wilkinson escreveu que não parecia que o ataque afetou a operação ou a segurança de seus produtos ou serviços.
A carta não esclarecia se os arquivos roubados estavam relacionados à Entrust ou a qualquer um de seus clientes. Na época, a empresa disse que esses produtos e serviços são executados em ambientes separados e com lacunas de ar de seus sistemas internos.
A empresa de gerenciamento e autenticação de identidade notificou a aplicação da lei e começou a trabalhar com outro fornecedor de segurança cibernética.
O CEO acrescentou que a investigação estava em andamento, mas que o fornecedor havia encontrado “nenhuma evidência de acesso autorizado contínuo aos nossos sistemas e estamos implementando proteções adicionais para ajudar a aumentar nossa segurança.”
Os clientes da Entrust incluem uma série de agências governamentais dos EUA, incluindo o Departamento de Segurança Interna, o Departamento do Tesouro e o Departamento de Energia . Também inclui empresas de seguros e financeiras, bem como empresas de tecnologia como VMware e Microsoft.
O ataque à Entrust faz parte de uma tendência crescente de ameaças online contra fornecedores terceirizados, à la the Ataque da SolarWinds no ano passado. Os cibercriminosos veem esses ataques à cadeia de suprimentos como uma maneira fácil de alcançar um grande número de vítimas em potencial por meio dos fornecedores terceirizados que eles usam. O NCC Group disse em um relatório que o número de ataques cibernéticos na cadeia de suprimentos aumentou 51% ano a ano no último semestre de 2021.
A gangue LockBit, cujo malware de mesmo nome foi detectado pela primeira vez em 2019, tornou-se um dos grupos de ameaças mais prolíficos nas cenas de ransomware crescentes e em evolução. Um relatório do fornecedor de segurança cibernética Digital Shadows descobriu que o LockBit no segundo trimestre foi responsável por 32,77% de todos os incidentes em que as organizações de vítimas foram postadas em sites de vazamento de ransomware. aumento trimestral no número de organizações vítimas listadas em seus sites de vazamento, de acordo com a Digital Shadows.
A invasão russa desestabilizou perigosamente as normas de segurança cibernética )
Mais recentemente, no final do mês passado, a LockBit alegou ter roubado 78 GB de dados da agência fiscal da Itália.
Em junho, a empresa lançou a versão mais recente de seu ransomware, LockBit 3.0 . A última iteração incluiu um programa de recompensas por bugs, com o grupo oferecendo recompensas de US$ 1.000 a US$ 1 milhão para indivíduos que oferecem exploits, dados pessoais sobre vítimas em potencial, informações sobre alvos de alto valor ou ideias para melhorar as operações da gangue.
O grupo também criou novos sites da dark web para o LockBit 3.0 e agora está aceitando a criptomoeda Zcash para pagamento. Além disso, qualquer pessoa agora pode comprar os dados roubados e permitir que as vítimas paguem ao grupo para destruir os dados ou estender o prazo para pagar o resgate.
O lançamento do LockBit 3.0 pode alimentar mais ataques de ransomware no terceiro trimestre, assim como o lançamento de uma versão aprimorada em 2021. Os novos recursos “também podem inspirar outros grupos a seguir seus passos, dependendo do sucesso de suas novas ofertas”, escreveram os pesquisadores.
LockBit é um exemplo de uma mudança contínua no ransomware, longe de simplesmente criptografar os dados de uma empresa vítima e exigir pagamento em troca de uma chave de descriptografia e simplesmente exfiltrar arquivos de dados e ameaçar publicá-los publicamente em sites de vazamento a menos que o resgate seja pago.
