O Lockbit Ransomware Se Espalha por Conta Própria e Infecta 250 Sistemas
Um recurso do LockBit Ransomware que foi examinado em profundidade apenas recentemente, permite que o ransomware se espalhe para um grande número de dispositivos em um curto espaço de tempo. Uma rede corporativa foi atacada usando o LockBit e 250 sistemas foram infectados após a violação, com o ransomware se espalhando automaticamente para novos sistemas das vítimas.
Uma Infecção Automatizada, Requer um Envolvimento Mínimo dos Criminosos
O LockBit é uma operação de Ransomware como um Serviço (RaaS), na qual o kit de ferramentas malicioso é alugado para hackers iniciantes. Depois que um ataque é realizado por terceiros, os autores do ransomware que operam o site de processamento de pagamentos recebem uma parcela significativa dos pagamentos de resgate - entre 25 e 40%, enquanto os maus atores que executaram o ataque recebem a maior parte dos pagamentos.
Os especialistas em segurança cibernética da Northwave foram chamados para responder ao ataque à entidade corporativa que tinha um total de 225 estações de trabalho e 25 servidores infectados. A Northwave relata que todo o ataque ocorreu ao longo de três horas.
Os hackers entraram na rede explorando um serviço VPN desatualizado que lhes permitia forçar brutalmente a senha de uma conta de administrador. Depois de terem acesso de administrador, foi muito fácil implantar o LockBit Ransomware. No entanto, a parte curiosa não é tanto a infiltração e a implantação, mas o que o LockBit pode fazer depois de implantado.
Um LockBit Autopropagável Facilita a Vida dos Maus Atores
O ransomware pode se espalhar para outros dispositivos conectados em uma rede, usando o ARP (Protocolo de Resolução de Endereço) para encontrar sistemas ativos adicionais e conectá-los usando o protocolo SMB (Servidor de Bloqueio de Mensagem). Se a conexão SMB for concluída com êxito, o ransomware executará um comando do PowerShell que baixa e implanta a carga útil. Esse processo é repetido em cada sistema recém-infectado, levando a um efeito de avalanche e cada novo host infectado procurando por mais máquinas. A única coisa que um Black Hat em expansão precisa para espalhar o LockBit para um número considerável de sistemas é o acesso de administrador e algumas horas, o que pode ser uma perspectiva preocupante.
Esse recurso diminui o nível de habilidade dos hackers que podem tentar usar o ransomware, mas também significa que os ataques usando esse tipo de método são mais fáceis de detectar e parar. Ainda assim, essa ameaça de disseminação extremamente fácil de usar significa que muitos novos atores potencialmente mal-intencionados podem recorrer ao LockBit, esperando um pagamento com o mínimo de investimento e esforço.