.
Sete nações emitiram hoje um alerta, além de dicas de proteção, sobre o LockBit, a prolífica gangue de ransomware como serviço.
As afiliadas do grupo continuam sendo um flagelo global, custando apenas às vítimas dos EUA mais de US$ 90 milhões em cerca de 1.700 ataques desde 2020, nos disseram.
O comunicado de segurança conjunto — emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), FBI, Centro de Compartilhamento e Análise de Informações Multiestatais (MS-ISAC) e autoridades de segurança cibernética na Austrália, Canadá, Reino Unido, Alemanha, França e Nova Zelândia — inclui detalhes de ferramentas e explorações comuns usadas pelos criminosos, juntamente com recomendações para evitar infecções por ransomware ou reduzir o impacto de infecções futuras.
É essencialmente um mini manual [PDF] para identificar, interromper e relatar a atividade do LockBit. As nações também exortaram as vítimas a não ceder às exigências da tripulação:
A gangue, agora na versão 3.0 de seu malware de criptografia e roubo de dados, começou a incorporar o código-fonte do ransomware Conti em janeiro e usando criptografadores direcionados ao macOS como visto no VirusTotal.
A LockBit, tanto a equipe principal quanto suas operadoras afiliadas, tem como alvo organizações em uma variedade de setores críticos de infraestrutura, incluindo serviços financeiros, alimentos e agricultura, educação, energia, serviços governamentais e de emergência, saúde, manufatura e transporte.
Algumas das vítimas mais recentes incluem Cuidados Gerenciados da América do Norte, um dos maiores provedores de assistência odontológica e seguros apoiados pelo governo nos EUA. No início deste ano, os criminosos invadiram os servidores da MCNA, permaneceram por 10 dias e extraíram informações de quase 9 milhões de pessoas.
Em janeiro, a quadrilha”pediu desculpas formalmente” por invadir os sistemas do maior hospital infantil do Canadá, SickKids, culpando um grupo afiliado desde então abandonado por um ataque de extorsão e oferecendo um descriptografador gratuito para a vítima recuperar os arquivos.
Mas antes de pensar que o grupo de ransomware como serviço deu mole, vale lembrar que a quadrilha ataque de ransomware no verão passado contra o Centre Hospitalier Sud Francilien da França.
A tripulação foi ligada à Rússia, e em maio Tio Sam sancionado um cidadão russo, Mikhail Pavlovich Matveev, acusado de usar o LockBit e outro ransomware para extorquir uma agência de aplicação da lei e uma organização de saúde sem fins lucrativos em Nova Jersey, bem como o Departamento de Polícia Metropolitana em Washington DC, entre “numerosas” outras organizações de vítimas nos EUA e globalmente.
Esses laços com o Kremlin são outro motivo para não pagar, de acordo com Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security.
“A onda de crimes cibernéticos da Lockbit é significativa, notavelmente cujos rendimentos ajudaram a Rússia a compensar algumas sanções econômicas ocidentais”, disse Kellermann Strong The One. “As gangues de ransomware mais nefastas são afiliadas a cartéis de crimes cibernéticos que desfrutam de uma pax mafiosa com o governo russo”.
MLM, mas transforme-o em ransomware
O LockBit foi o ransomware mais usado em 2022 globalmente e até agora em 2023, de acordo com os sete países. Isso se deve em grande parte ao grande número de afiliados da gangue, que, em troca do pagamento antecipado e das taxas de assinatura, recebem uma parte dos pagamentos do resgate.
Eles também empregam vários truques publicitários para atrair novos membros, incluindo pagar pessoas para fazer tatuagens LockBit e oferecer uma recompensa de US $ 1 milhão por informações relacionadas à identidade do chefão, que atende por “LockBitSupp”.
“Devido ao grande número de afiliados não conectados na operação, os ataques de ransomware LockBit variam significativamente em táticas, técnicas e procedimentos (TTPs) observados”, observa o comunicado.
Isso inclui o uso de cerca de 30 ferramentas freeware e de código aberto, todas detalhadas no alerta de segurança, e o FBI mapeou mais de 40 dos TTPs da gangue para as estruturas MITRE ATT&CK.
Os criminosos também foram vistos explorando “numerosos” CVEs. Isso inclui a vulnerabilidade de execução remota de código (RCE) Fortra GoAnyhwere Managed File Transfer (CVE-2023-0669), o Falha de controle de acesso impróprio do PaperCut MF/NG (CVE-2023-27350), o Log4j RCE (CVE-2021-44228), o F5 BIG-IP e BIG-IQ Gerenciamento Centralizado iControl REST RCE (CVE-2021-22986), um bug de escalação de privilégio NetLogon (CVE-2020-1472), um RCE de área de trabalho remota da Microsoft (CVE-2019-0708) e uma vulnerabilidade Fortinet FortiOS SSL-VPN path traversal (CVE-2018-13379).
Este último não deve ser confundido com outro bug crítico no FortiOS SSL-VPN que foi descoberto, corrigido e provavelmente explorado esta semana.
Depois de invadir, criptografar e roubar os dados das organizações, os afiliados da LockBit publicam nomes e, às vezes, capturas de tela de dados roubados em seus sites de vazamento para tentar forçar as vítimas a pagar o pedido de resgate.
Nomear e envergonhar as vítimas
Entre janeiro de 2020 e o primeiro trimestre de 2023, um total de 1.653 supostas vítimas foram nomeadas em sites de vazamento do LockBit — embora, segundo as agências cibernéticas, esse número represente apenas “uma parte” das vítimas das afiliadas, pois inclui apenas aquelas que se recusam a pagar.
Além disso, os sites de vazamento não são um indicador muito confiável de quando os ataques ocorreram porque a data de publicação dos dados “pode ser meses” depois que as afiliadas da LockBit infectaram inicialmente os sistemas corporativos, de acordo com o alerta.
Dadas essas advertências, veja como o LockBit se compara a outras infecções por ransomware em todo o mundo:
De 1º de abril de 2022 a 31 de março de 2023, o LockBit representou 18% do total de incidentes de ransomware australianos relatados.
Em 2022, o LockBit foi responsável por 22% dos incidentes de ransomware atribuídos no Canadá.
Em 2022, a Nova Zelândia recebeu 15 relatórios de ransomware LockBit, representando 23% dos relatórios de ransomware do ano.
Em 2022, 16% dos incidentes de ransomware do governo estadual, local, tribal e do tribunal dos EUA relatados ao MS-ISAC foram identificados como ataques LockBit. Isso incluiu incidentes de ransomware que afetaram governos municipais, governos de condados, ensino superior público e escolas K-12 e serviços de emergência, como aplicação da lei. ®
.
