LockBit активизировались.
Хак-группировка в своих атаках активно использует различные известные и изощренные процедуры, тактики и техники (TTP), что позволяет быстро достигать своих целей и оставаться незамеченными необходимое время. Для проникновения в инфраструктуру организации, группировка использует уязвимости в непропатченном программном обеспечении, доступ с помощью сотрудников компаний (подкуп сотрудников) и эксплойты нулевого дня.
После компрометации сети жертвы, злоумышленники как правило используют известные утилиты, например Mimikatz, чтобы получить дамп lsass.exe и с имеющимися кредами пользователей повысить свои привилегии в сети. Как итог, происходит запуск шифровальщика LockBit 2.0.
Таймлайн 2021 года:
- Июль — LockBit 2.0 используют новые способ распространения шифровальщика в сети жертвы через групповые политики ActiveDirectory;
- Август — начали давать объявления для сотрудников компании, чтобы осуществить проникновение через инсайдеров; LockBit2.0 также разработали базирующийся на Linux ОС ransomware, который имеет возможность проникновения в сеть через уязвимости в виртуальных машинах VMWare ESXi.
Одним наиболее важных триггеров прекращения работы вымогателя, являются следующие языки
в операционной системе (
речь не идет о раскладке клавиатуры):
- Azeri (Latin)
- Azeri (Cyrillic)
- Armenian — Armenia
- Belarusian
- Georgian
- Kazakh
- Kyrgyz (Cyrillic)
- Russian
- Russian — Moldava
- Tajik
- Turkmen
- Uzbek (Latin)
- Uzbek (Cyrillic)
Наличие одного из языков ведет к завершению процесса: