Definição de LockBit
O ransomware LockBit é um software malicioso projetado para bloquear o acesso do usuário aos sistemas de computador em troca do pagamento de um resgate. O LockBit verifica automaticamente alvos valiosos, espalha a infecção e criptografa todos os sistemas de computadores acessíveis em uma rede. Esse ransomware é usado para ataques altamente direcionados contra empresas e outras organizações. Como um ataque virtual por piloto automático, os invasores LockBit deixaram sua marca ao ameaçar organizações em todo o mundo com algumas das seguintes ameaças:
- Interrupção de operações com funções essenciais sendo interrompidas repentinamente.
- Extorsão para ganhos financeiros do hacker.
- Roubo de dados e publicação ilegal como chantagem, se a vítima não obedecer.
O que é o ransomware LockBit?
LockBit é um novo ataque de ransomware em uma longa linha de ataques virtuais de extorsão. Anteriormente conhecido como ransomware “ABCD”, ele se tornou uma ameaça única dentro do escopo dessas ferramentas de extorsão. O LockBit é uma subclasse de ransomware conhecida como "vírus de criptografia", devido à formação de seus pedidos de resgate em torno do pagamento financeiro pela descriptografia. Ele se concentra principalmente em empresas e organizações governamentais, em vez de em indivíduos.
Os ataques usando LockBit começaram originalmente em setembro de 2019, quando foi apelidado de “vírus .abcd”. O apelido era uma referência ao nome da extensão de arquivo usada ao criptografar os arquivos da vítima. Alvos notáveis anteriores incluem organizações nos Estados Unidos, China, Índia, Indonésia e Ucrânia. Além disso, vários países da Europa (França, Reino Unido, Alemanha) sofreram ataques.
Alvos viáveis são aqueles que se sentirão prejudicados o suficiente pela interrupção para pagar uma pesada soma — e terão fundos para isso. Como tal, isso pode resultar em ataques generalizados contra grandes empresas, desde instituições de saúde até financeiras. Em seu processo de verificação automatizado, parece também evitar intencionalmente o ataque a sistemas locais da Rússia ou de qualquer outro país da Comunidade de Estados Independentes. Presumivelmente, isso é para evitar processos nessas áreas.
O LockBit funciona como um Ransomware-as-a-Service (RaaS). As partes dispostas fazem um depósito para o uso de ataques personalizados de aluguel e lucram com uma estrutura de afiliados. Os pagamentos do resgate são divididos entre a equipe de desenvolvedores do LockBit e os afiliados do ataque, que recebem até ¾ dos fundos do resgate.
Como funciona o ransomware LockBit?
O ransomware LockBit é considerado por muitas autoridades como parte da família de malware “LockerGoga & MegaCortex”. Isso significa simplesmente que ele compartilha comportamentos com essas formas estabelecidas de ransomware direcionado. Como uma explicação rápida, entendemos que esses ataques são:
- Por autopropagação dentro de uma organização, em vez de demandar orientação manual.
- Direcionado, em vez de se espalhar de forma dispersa como um malware de spam.
- Usando ferramentas semelhantes para se espalhar, como o Windows Powershell e o Server Message Block (SMB).
O mais significativo é sua capacidade de se autopropagar, o que significa que ele se espalha por conta própria. Em sua programação, o LockBit é direcionado por processos automatizados pré-projetados. Isso o torna diferente de muitos outros ataques de ransomware que são acionados manualmente pela vida na rede — às vezes por semanas — para concluir o reconhecimento e a vigilância.
Depois que o invasor infectou manualmente um único host, ele pode encontrar outros hosts acessíveis, conectá-los aos infectados e compartilhar a infecção usando um script. Isso é concluído e repetido inteiramente sem intervenção humana.
Além disso, ele usa ferramentas em padrões que são nativos para quase todos os sistemas de computador Windows. Os sistemas de segurança de endpoints têm dificuldade em sinalizar atividades maliciosas. Ele também oculta o arquivo de criptografia executável, disfarçando-o como o formato de arquivo de imagem .PNG comum, enganando ainda mais as defesas do sistema.
Estágios de ataques do LockBit
Os ataques do LockBit podem ser compreendidos basicamente em três estágios:
- Exploração
- Infiltrar
- Implante
Estágio 1: Explorar os pontos fracos de uma rede. A violação inicial se parece muito com outros ataques maliciosos. Uma organização pode ser explorada por táticas de engenharia social, como phishing, onde os invasores se passam por funcionários ou autoridades confiáveis para solicitar credenciais de acesso. Igualmente viável é o uso de ataques de força bruta aos servidores de intranet e sistemas de rede de uma organização. Sem uma configuração de rede adequada, as sondagens de ataque podem levar apenas alguns dias para serem concluídas.
Depois que o LockBit chega à rede, o ransomware prepara o sistema para liberar sua carga de criptografia em todos os dispositivos possíveis. No entanto, um invasor pode ter que garantir que algumas etapas adicionais sejam concluídas antes de fazer seu movimento final.
Estágio 2: Infiltrar-se mais profundamente para concluir a configuração do ataque, se necessário. Desse ponto em diante, o programa LockBit dirige todas as atividades de forma independente. Ele é programado para usar o que é conhecido como ferramentas de “pós-exploração” para obter privilégios de escalonamento para atingir um nível de acesso pronto para o ataque. Também se enraíza através do acesso já disponível, pelo movimento lateral para o vertical, para viabilidade do alvo.
É nessa fase que o LockBit realizará quaisquer ações preparatórias antes de implantar a parte de criptografia do ransomware. Isso inclui desabilitar programas de segurança e qualquer outra infraestrutura que possa permitir a recuperação do sistema.
O objetivo da infiltração é tornar a recuperação não assistida impossível ou lenta o suficiente para que sucumbir ao resgate do invasor seja a única solução prática. É quando a vítima está desesperada para fazer as operações voltarem ao normal que ela paga a taxa de resgate.
Estágio 3: Implantar a carga de criptografia. Assim que a rede estiver preparada para que o LockBit seja totalmente mobilizado, o ransomware começará sua propagação em qualquer máquina que possa tocar. Conforme declarado anteriormente, o LockBit não precisa de muito para completar esse estágio. Uma única unidade de sistema com alto acesso pode emitir comandos para outras unidades de rede para fazer download do LockBit e executá-lo.
A parte da criptografia colocará um “bloqueio” em todos os arquivos do sistema. As vítimas só podem desbloquear seus sistemas por uma chave personalizada criada pela ferramenta de descriptografia proprietária do LockBit. O processo também deixa cópias de um arquivo de texto simples de nota de resgate em cada pasta do sistema. Ele fornece à vítima instruções para restaurar seu sistema e até incluiu ameaças de chantagem em algumas versões do LockBit.
Com todas as etapas concluídas, as próximas etapas são deixadas para a vítima. Eles podem decidir entrar em contato com a central de suporte do LockBit e pagar o resgate. No entanto, não é aconselhável seguir suas demandas. As vítimas não têm garantia de que os agressores cumprirão sua parte no trato.
Tipos de ameaças LockBit
Como o mais recente ataque de ransomware, a ameaça LockBit pode ser uma preocupação significativa. Não podemos descartar a possibilidade de que isso ocorra em muitos setores e organizações, especialmente com um aumento recente no trabalho remoto. Identificar as variantes do LockBit pode ajudar a identificar exatamente com o que você está lidando.
Variante 1 — extensão .abcd
A versão original do LockBit renomeia arquivos com o nome de extensão “.abcd”. Além disso, inclui uma nota de resgate com demandas e instruções para supostas restaurações no arquivo “Restore-My-Files.txt”, inserido em todas as pastas.
Variante 2 —. Extensão LockBit
A segunda versão conhecida desse ransomware adotou a extensão de arquivo “.LockBit”, dando-lhe o apelido atual. No entanto, as vítimas perceberão que outras características dessa versão parecem quase idênticas, apesar de algumas revisões de backend.
Variante 3 —. LockBit versão 2
A próxima versão identificável do LockBit não requer mais o download do navegador Tor nas instruções de resgate. Em vez disso, ele envia as vítimas para um site alternativo pelo acesso à Internet tradicional.
Atualizações e revisões contínuas do LockBit
Recentemente, o LockBit foi aprimorado com recursos mais nefastos, como a negação de pontos de verificação de permissão administrativa. O LockBit agora desativa os avisos de segurança que os usuários podem ver quando um aplicativo tenta ser executado como administrador.
Além disso, o malware agora está configurado para roubar cópias dos dados do servidor e inclui linhas adicionais de chantagem na nota de resgate. No caso de a vítima não seguir as instruções, o LockBit agora ameaça a divulgação pública dos dados particulares da vítima.
Remoção e descriptografia do LockBit
Se a organização já estiver infectada, a remoção do ransomware LockBit por si só não dá acesso aos seus arquivos. Você ainda precisará de uma ferramenta para restaurar o sistema, pois a criptografia requer uma “chave” para ser desbloqueada. Como alternativa, você pode restaurar os sistemas recriando a imagem deles, se já tiver imagens de backup pré-infecção criadas.
Como se proteger contra o ransomware LockBit
Em última análise, você terá que definir medidas de proteção para garantir que sua organização seja resiliente contra qualquer ransomware ou ataques maliciosos desde o início. Veja algumas práticas que podem ajudar você a se preparar:
- Senhas fortes devem ser implementadas. Muitas violações de conta ocorrem devido a senhas fáceis de adivinhar ou que são simples o suficiente para uma ferramenta de algoritmo descobrir em poucos dias de sondagem. Certifique-se de escolher uma senha segura, como escolher senhas mais longas, com variações de caracteres e usar regras criadas por você para criar frases secretas.
- Ative a autenticação de vários fatores. Detenha ataques de força bruta adicionando camadas sobre seus logins iniciais baseados em senha. Inclua medidas como biometria ou autenticadores de chave USB físicos em todos os seus sistemas, quando possível.
- Reavalie e simplifique as permissões de conta de usuário. Limite as permissões a níveis mais estritos para impedir que potenciais ameaças passem sem ser impedidas. Preste atenção especial para aquelas acessadas por usuários de endpoint e contas de TI com permissões de nível de administrador. Domínios da Web, plataformas colaborativas, serviços de reunião na Web e bancos de dados corporativos devem ser protegidos.
- Limpe contas de usuário desatualizadas e não utilizadas. Alguns sistemas mais antigos podem ter contas de funcionários antigos que nunca foram desativadas e fechadas. A conclusão de uma verificação dos sistemas deve incluir a remoção desses pontos fracos em potencial.
- Certifique-se de que as configurações do sistema estejam seguindo todos os procedimentos de segurança. Isso pode levar algum tempo, mas rever as configurações existentes pode revelar novos problemas e políticas desatualizadas que colocam sua organização em risco de ataque. Os procedimentos de operação padrão devem ser reavaliados periodicamente para se manter atualizado contra novas ameaças cibernéticas.
- Sempre tenha backups de todo o sistema e imagens limpas da máquina local preparadas. Incidentes acontecerão, e a única proteção verdadeira contra a perda permanente de dados é uma cópia off-line. Periodicamente, sua organização deve criar backups para se manter atualizada com quaisquer mudanças importantes nos sistemas. No caso de um backup ficar contaminado por uma infecção por malware, considere ter vários pontos de backup rotativos para ter a opção de selecionar um período limpo.
Artigos relacionados: