techrepublic

Консультации CISA по LockBit: 91 миллион долларов вымогался в результате 1700 атак с 2020 года

16 июня 2023 г.

ФБР, CISA и международные организации выпустили информационный бюллетень, подробно описывающий широту и глубину LockBit, а также способы защиты от наиболее распространенных программ-вымогателей 2022 и (на данный момент) 2023 годов.

В новом бюллетене от консорциума международных организаций, включая Агентство по кибербезопасности и безопасности инфраструктуры, ФБР и Межгосударственный центр обмена и анализа информации, подробно описаны инциденты, связанные с LockBit, самой распространенной программой-вымогателем с 2022 года, и даны рекомендации по смягчению последствий. Растущее число гибридных работников создает еще больше уязвимостей, особенно уязвимыми являются небольшие компании.

Перейти к:

Что такое ЛокБит? Чем цепочка убийств LockBit отличается от других игроков RaaS? Сол Гудман из даркнета: действия LockBit фальшивы Платная модель снижает входной барьер Глобальный охват LockBit Информация, выброшенная на сайты утечки данных, — это еще не вся картина Как защититься от LockBit Смягчение других событий в цепочке уничтожения LockBit

Что такое ЛокБит?

LockBit — программа-вымогатель как услуга, которая вымогала 91 миллион долларов в результате примерно 1700 атак на американские организации с 2020 года, поразив не менее 576 организаций в 2022 году, — предоставляет клиентам интерфейс с низким кодом для запуска атак.

В бюллетене по кибербезопасности отмечается, что атаки LockBit затронули финансовые услуги, продукты питания, образование, энергетику, государственные службы и службы экстренной помощи, здравоохранение, производство и транспорт.

Чем цепочка убийств LockBit отличается от других игроков RaaS?

В бюллетене, в котором используется матрица MITRE ATT&CK Matrix for Enterprise в качестве основы для понимания цепочки уничтожения LockBit, сообщается, что операция отличается от других игроков RaaS, поскольку она:

Позволяет аффилированным лицам сначала получать выкуп, прежде чем отправлять часть основной группе, в то время как другие группы RaaS сначала платят сами себе. Пренебрежительно относится к другим группам RaaS на онлайн-форумах. Участвует в рекламных трюках. Обладает не требующим навыков интерфейсом для своего вымогателя.

Сол Гудман из даркнета: действия LockBit фальшивы

В исследовании профессионализации программ-вымогателей, проведенном в мае 2023 года, компания WithSecure, занимающаяся кибербезопасностью, отметила, что модель RaaS, которую использует LockBit, является сервис-ориентированной системой; точно так же, как законное программное обеспечение: оно создает инструменты, инфраструктуру и операционные процедуры — «учебники» — и продает доступ к этим инструментам и услугам другим группам или отдельным лицам.

ПОСМОТРЕТЬ: инструменты совершенствуются, но кибератаки улучшаются, согласно исследованию Cisco (TechRepublic).

Шон Макни, вице-президент по исследованиям и данным в интернет-компании DomainTools, сказал, что группа LockBit постоянно обновляет программное обеспечение, как и законная операция, даже выпуская программу вознаграждения за ошибки для программного обеспечения.

«Поскольку модель «программы-вымогатели как услуга» продолжает развиваться, мы видим, как группы конкурируют за лучших партнеров для своих услуг», — сказал он, добавив, что LockBit работает над увеличением масштабов и широты атак за счет профессионализации своей партнерской сети. включая активную рекламу на интернет-форумах.

Такие операторы, как LockBit, быстро адаптируются и используют новые возможности для бизнеса, чтобы использовать изменения в сфере программ-вымогателей в своих интересах. Мы опасаемся, что эта тенденция сохранится и в 2023 году».

Платная модель снижает входной барьер

«Система RaaS снижает барьер для входа, позволяя новым участникам рынка извлекать выгоду из опыта опытных участников, а также позволяет уже существующим участникам получать долю прибыли от всех клиентов, которые пользуются их услугами», — говорится в сообщении. авторы документа WithSecure, в том числе аналитик фирмы по угрозам Стивен Робинсон.

«Как и в случае с законными поставщиками услуг, возможная прибыль намного выше — время человека можно продать только один раз, тогда как экспертиза упакована как услуга, ее можно продавать многократно без особого увеличения затрат», — пишут авторы статьи WithSecure. .

Хотя в отчете WithSecure, как и в рекомендациях, отмечается, что аффилированные лица LockBit платят за доступ к исходной группе, а исходная группа берет процент от любого выплаченного выкупа, атаки операторов, методы работы и цели сильно различаются.

Глобальный охват LockBit

В прошлом году в США на LockBit приходилось 16% инцидентов с программами-вымогателями на уровне штатов и местных органов власти, о которых сообщалось в MS-ISAC, включая атаки программ-вымогателей на местные органы власти, государственные высшие учебные заведения и школы K-12, а также службы экстренной помощи.

СМОТРЕТЬ: Атаки программ-вымогателей стремительно растут (TechRepublic)

В бюллетене по кибербезопасности отмечается, что с апреля прошлого года по первый квартал этого года на долю LockBit пришлось 18% всех зарегистрированных инцидентов с программами-вымогателями в Австралии и 22% инцидентов с программами-вымогателями в Канаде в прошлом году.

Исследование программ-вымогателей, проведенное WithSecure в мае 2023 года, показало, что основными жертвами LockBit в Европе были немецкий производитель автозапчастей Continental, американская компания Entrust, занимающаяся разработкой программного обеспечения для обеспечения безопасности, и французская технологическая компания Thales.

Информация, выброшенная на сайты утечки данных, — это еще не вся картина

Поскольку LockBit участвует в атаках в стиле двойного вымогательства, в которых злоумышленники, использующие программу-вымогатель, блокируют базы данных и извлекают личную информацию с угрозами публикации без оплаты, сайты утечки данных являются важным элементом эксплойтов RaaS группы угроз. В бюллетене сообщалось о 1653 предполагаемых жертвах на сайтах утечки LockBit в течение первого квартала 2023 года.

Кроме того, в бюллетене отмечается, что, поскольку сайты утечки показывают только часть жертв LockBit, подвергшихся вымогательству, которые отказываются платить основной выкуп за расшифровку своих данных, сайты раскрывают только часть общего числа жертв LockBit.

«По этим причинам сайты утечки не являются надежным индикатором того, когда произошли атаки программ-вымогателей LockBit», — заявили авторы бюллетеня, отметив, что сброс данных на сайты утечек может произойти через несколько месяцев после атак программ-вымогателей, которые сгенерировали информацию.

WithSecure отметил, что LockBit в июне 2020 года начал «Сотрудничество с картелем выкупа» с другими группами Maze и Egregor, которое включало обмен сайтами утечки.

Как защититься от LockBit

Авторы бюллетеня предложили организациям предпринять действия, соответствующие набору целей, разработанных CISA и Национальным институтом стандартов и технологий, которые представляют собой минимальные методы и средства защиты. В бюллетене предложения перечислены по тактике цепочки убийств, как описано MITRE ATT&CK, причем самая ранняя точка в цепочке убийств появляется первой.

В бюллетене указывалось на три основных события цепочки убийств:

Первоначальный доступ, когда кибер-актор ищет путь в сеть. Консолидация и подготовка, когда актер пытается получить доступ ко всем устройствам. Воздействие на цель, где субъект может украсть и зашифровать данные, а затем потребовать выкуп.

Чтобы уменьшить первоначальный доступ, рекомендуемые консультативными организациями использовать изолированные браузеры для защиты систем от вредоносных программ, возникающих при просмотре веб-страниц, отмечая, что изолированные браузеры изолируют хост-компьютер от вредоносного кода.

Авторы также рекомендовали требовать, чтобы все учетные записи с входом в систему с паролем соответствовали стандартам NIST для разработки и управления политиками паролей. Среди других средств защиты от начального доступа, рекомендованных авторами:

Применяйте фильтры на почтовых шлюзах, чтобы отфильтровывать вредоносные электронные письма и блокировать подозрительные IP-адреса. Установите брандмауэр веб-приложения. Сегментируйте сети, чтобы предотвратить распространение программ-вымогателей.

Смягчение других событий в цепочке уничтожения LockBit

Исполнение

Разрабатывайте и регулярно обновляйте комплексные схемы сети. Контролируйте и ограничивайте сетевые подключения. Включите расширенное ведение журнала PowerShell. Убедитесь, что экземпляры PowerShell настроены на последнюю версию и включены модули, блоки сценариев и ведение журнала транскрипции. Включите журнал событий PowerShell Windows и рабочий журнал PowerShell со сроком хранения не менее 180 дней. Настройте реестр Windows так, чтобы для любых операций PsExec, требующих прав администратора, требовалось одобрение контроля учетных записей пользователей.

Повышение привилегий

Отключите действия и разрешения командной строки и сценариев. Включите Credential Guard, чтобы защитить учетные данные вашей системы Windows. По возможности внедрите решение для пароля локального администратора, если ваша ОС старше Windows Server 2019 и Windows 10.

Уклонение от защиты

Применяйте локальные политики безопасности для управления выполнением приложений с помощью строгого списка разрешений. Создайте список разрешенных приложений из утвержденных программных приложений и двоичных файлов.

Доступ к учетным данным

Ограничьте использование NTLM с помощью политик безопасности и брандмауэра.

Открытие

Отключите порты, которые не используются в коммерческих целях.

Боковое движение

Определите пути управления Active Directory и устраните наиболее важные из них. Идентифицируйте, обнаруживайте и расследуйте аномальную активность и потенциальный обход указанных программ-вымогателей с помощью инструмента сетевого мониторинга.

Командование и контроль

Внедрите многоуровневую модель, создав зоны доверия, предназначенные для наиболее конфиденциальных активов организации. Организациям следует рассмотреть возможность перехода к архитектурам с нулевым доверием. Доступ к VPN не следует рассматривать как доверенную сетевую зону.

Эксфильтрация

Блокируйте подключения к известным вредоносным системам с помощью прокси-сервера Transport Layer Security. Используйте веб-фильтрацию или Cloud Access Security Broker, чтобы ограничить или контролировать доступ к общедоступным службам обмена файлами.

Влияние

Внедрите план восстановления для обслуживания и хранения нескольких копий конфиденциальных или проприетарных данных и серверов в физически отдельном, сегментированном и безопасном месте. Поддерживайте автономные резервные копии данных и регулярно выполняйте резервное копирование и восстановление ежедневно или еженедельно как минимум. Убедитесь, что все данные резервного копирования зашифрованы, неизменны и охватывают всю инфраструктуру данных организации.

Оригинал