20 ก.พ. เวลา 04:44 • วิทยาศาสตร์ & เทคโนโลยี

LockBit Ransomware โจมตีอีกครั้ง!

LockBit ransomware ได้ปรากฏตัวอีกครั้งเมื่อไม่นานมานี้ในทั่วโลก Sangfor's expert cybersecurity team ได้ตรวจพบกรณีหลายรายการของ LockBit ransomware ที่มีกิจกรรมในประเทศจีน, ประเทศไทย, อินโดนีเซีย, ยุโรป และอเมริกา
LockBit ใช้งานโดยส่วนใหญ่แล้วใช้กับเป้าหมายที่มีมูลค่าสูง ทีม Sangfor ได้ค้นพบว่ากลุ่ม LockBit เป้าหมายโดยเฉพาะที่สุขภาพ, การศึกษา, และภาคการเงิน พวกเขายังเป้าหมายเอกชนผู้ผลิตชั้นนำและหน่วยงานรัฐบาลด้วย
ภาพนี้แสดงข้อมูลย่อยจากกลุ่ม LockBit ransomware:
LockBit Ransomware Family Background
Sangfor ได้ติดตามกลุ่ม LockBit ransomware ตั้งแต่เริ่มต้นในปี 2019 ทีมได้วิเคราะห์เทคนิคและวิธีการเจาะระบบที่ใช้โดย ransomware ในเวลาต่อมา Sangfor’s experts ได้มีส่วนร่วมอย่างใกล้ชิดในการวิจัยนี้เป็นเวลานาน
นี่คือภาพรวมสั้นๆของความรู้ที่พบเกี่ยวกับ LockBit ransomware:
กันยายน 2019 - LockBit attacks เริ่มต้นในปี 2019 ในตอนแรกเรียกว่า "ABCD Ransomware" ในภายหลังกลายเป็นชื่อ "LockBit"
มิถุนายน 2021 - LockBit 2.0 เริ่มปรากฏในเดือนมิถุนายน 2021 ซึ่งนำเสนอเทคนิค double extortion และการเข้ารหัสอัตโนมัติของอุปกรณ์ทั้งหมดในโดเมนของ Windows
ตุลาคม 2021 - LockBit เริ่มเข้าสู่เซิร์ฟเวอร์ Linux, เฉพาะเซิร์ฟเวอร์ ESXi LockBit ransomware group ยังได้นำเสนอ StealBit - เครื่องมือ malware ที่ใช้สำหรับการถอดข้อมูล
มิถุนายน 2022 - LockBit 3.0 - หรือ LockBit Black - พบเมื่อมิถุนายน 2022 นี้ เป็นโปรแกรมแรกที่มีโปรแกรมรางสาย bug bounty และรั่วไหลเทคนิคการขูดเก็บค่าไถ่และตัวเลือกการชำระเงินด้วย Cryptocurrency Zcash LockBit 3.0's code มีความเหมือนกันอย่างมหาศาลกับ BlackMatter และ DarkSide ransomware
กันยายน 2022 - ในเดือนกันยายน 2022, นักพัฒนาที่ไม่พอใจทราบถึงการรั่วไหลของโครงสร้างสำหรับ LockBit 3.0's encryptor บน Twitter สิ่งนี้เป็นทำลายต่อกลุ่ม ransomware เนื่องจากข้อมูลของโครงสร้างช่วยให้ทุกคนสามารถเริ่มต้นชุด ransomware ของตนด้วย encryptor, decryptor และเครื่องมือที่เชี่ยวชาญในการเปิดใช้ decryptor ในรูปแบบที่แน่นอน ขึ้นอยู่กับการรั่วไหลของ builder กลุ่ม Bl00dy ransomware ได้พัฒนา encryptors และใช้ในการโจมตีต่อหน่วยงานในยูเครนในเดือนกันยายน 2022
มกราคม 2023 - กลุ่ม LockBit ransomware ปล่อย LockBit Green ขึ้นอยู่กับรหัสที่รั่วไหลของ Conti ransomware
TTPs ของ LockBit Ransomware Family
ทีม LockBit ransomware เป็นกลุ่มที่ใหญ่และมีความซับซ้อนมาก พวกเขามีเทคนิค, เครื่องมือและจุดที่มีช่องโหว่หลายอย่างซึ่งทำให้การแพร่กระจาย LockBit ransomware ของพวกเขามีขอบเขตที่กว้าง
ตัวอย่างเช่น, LockBit ransomware สามารถใช้ Mimikatz hacker tool เพื่อลอก credential
และใช้แอปพลิเคชันหรือเครื่องมือ hacker บุคคลที่สามเพื่อขโมย credential และรหัสผ่าน LockBit ransomware ยังใช้ช่องโหว่เพื่อข้ามระบบป้องกัน Sangfor พบว่ากลุ่มนี้มักใช้ช่องโหว่ในเซิร์ฟเวอร์ Microsoft Exchange โดยเฉพาะ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065. ในช่วงเร็วๆนี้, Sangfor ยังพบว่า LockBit 3.0 Ransomware ปิดใช้งาน EDR โดยใช้ TDSSKiller เช่นกัน
แผนกระทำฉุกเฉินจริงของ LockBit นี้เกี่ยวข้องกับผู้โจมตีที่ใช้ช่องโหว่ที่พบเจอโดย Sangfor’s Endpoint Secure platform พร้อมการวิเคราะห์รากสาเหตุด้วยการมองเห็นทางการ อีกทั้ง LockBit ransomware ยังใช้ remote password spraying, brute force attacks และ pass-the-hash techniques ซึ่งทั้งหมดสามารถเรียกให้แสดงการเตือน
Sangfor มีการใช้กลยุทธ์ป้องกันหลายชั้นและแนวทางการป้องกันในระดับปลายทาง เครือข่าย และเกตเวย์ เพื่อป้องกัน LockBit ransomware Sangfor’s Endpoint Secure ให้การตรวจจับและบล็อกไฟล์ ransomware โดยตรง ถ้าโจมตีรหัสผ่านไฟล์ส่วนข้างไป สามารถใช้เครื่องมือตรวจจับพฤติกรรม ransomware ได้ในขณะที่ทำงาน
นอกจากนี้, Sangfor ยังใช้เทคนิค AI ต่างๆเพื่อตรวจจับและป้องกันการโจมตี ransomware เช่น NLP ในการตีความ ransomware release note
เครื่องมือ Machine Learning Engine ของ Sangfor ถูกฝึกอบรมโดยการใช้คุณสมบัติของไฟล์ ransomware ที่มีพลวัตทั้งหมดของพวกเขา
หากต้องการระบุการแพร่กระจายภายในของ LockBit ransomware attack แบบเร็วๆ ควรตรวจจับการใช้ช่องโหว่การใช้เวลาการเคลื่อนที่และรูปแบบการโจมตีการเชื่อมต่อทางไกลอื่นๆ
ตัวอย่างของ LockBit Ransomware
LockBit hacker ในตัวอย่างนี้ใช้คำสั่งผ่าน w3wp.exe เพื่อใช้ช่องโหว่หลายของใน Microsoft Exchange servers (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065) สิ่งนี้ทำให้เกิดขั้นตอนแรกของการโจมตี LockBit ransomware และกิจกรรมถูกตรวจพบทันทีโดย Sangfor’s Endpoint Secure platform
ในระหว่างการโจมตี ransomware สิ่งที่เกิดขึ้นอาจกลายเป็นซับซ้อน ผู้โจมตีสามารถโจมตีระบบจากจุดที่หลากหลาย เช่น breach/VPN network, แอปพลิเคชันภายนอก, เครื่องงาน หรือศูนย์ข้อมูล ทั้งนี้การโจมตีเหล่านี้อาจถูกนำมาผ่าน firewalls, web application firewalls, routers, switches หรือ NDRs นอกจากนี้ สิ่งที่จะง่ายขึ้นคือ หากอุปกรณ์เหล่านี้มีการตอบสนองร่วมกันในระหว่างการโจมตี ransomware
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโซลูชันความปลอดภัยไซเบอร์และคลาวด์คอมพิวติ้งของ Sangfor กรุณาเยี่ยมชม www.sangfor.com.
โฆษณา