6 февраля 2022
LockBit 2.0 новая активность
в 2022г
в 2022г
Хак-группировка в своих атаках активно использует различные известные
и изощренные процедуры, тактики и техники (TTP), что позволяет быстро достигать своих целей и оставаться незамеченными необходимое время.
и изощренные процедуры, тактики и техники (TTP), что позволяет быстро достигать своих целей и оставаться незамеченными необходимое время.
LockBit активизировались.
Хак-группировка в своих атаках активно использует различные известные и изощренные процедуры, тактики и техники (TTP), что позволяет быстро достигать своих целей и оставаться незамеченными необходимое время. Для проникновения в инфраструктуру организации, группировка использует уязвимости в непропатченном программном обеспечении, доступ с помощью сотрудников компаний (подкуп сотрудников) и эксплойты нулевого дня.
После компрометации сети жертвы, злоумышленники как правило используют известные утилиты, например Mimikatz, чтобы получить дамп lsass.exe и с имеющимися кредами пользователей повысить свои привилегии в сети. Как итог, происходит запуск шифровальщика LockBit 2.0.
Таймлайн 2021 года:
Одним наиболее важных триггеров прекращения работы вымогателя, являются следующие языки
в операционной системе (речь не идет о раскладке клавиатуры):
Хак-группировка в своих атаках активно использует различные известные и изощренные процедуры, тактики и техники (TTP), что позволяет быстро достигать своих целей и оставаться незамеченными необходимое время. Для проникновения в инфраструктуру организации, группировка использует уязвимости в непропатченном программном обеспечении, доступ с помощью сотрудников компаний (подкуп сотрудников) и эксплойты нулевого дня.
После компрометации сети жертвы, злоумышленники как правило используют известные утилиты, например Mimikatz, чтобы получить дамп lsass.exe и с имеющимися кредами пользователей повысить свои привилегии в сети. Как итог, происходит запуск шифровальщика LockBit 2.0.
Таймлайн 2021 года:
- Июль — LockBit 2.0 используют новые способ распространения шифровальщика в сети жертвы через групповые политики ActiveDirectory;
- Август — начали давать объявления для сотрудников компании, чтобы осуществить проникновение через инсайдеров; LockBit2.0 также разработали базирующийся на Linux ОС ransomware, который имеет возможность проникновения в сеть через уязвимости в виртуальных машинах VMWare ESXi.
Одним наиболее важных триггеров прекращения работы вымогателя, являются следующие языки
в операционной системе (речь не идет о раскладке клавиатуры):
- Azeri (Latin)
- Azeri (Cyrillic)
- Armenian — Armenia
- Belarusian
- Georgian
- Kazakh
- Kyrgyz (Cyrillic)
- Russian
- Russian — Moldava
- Tajik
- Turkmen
- Uzbek (Latin)
- Uzbek (Cyrillic)
Вызов функции библиотеки Kernell32.dll
В качестве индикаторов компрометации, могут выступать следующие:
Специалисты декодировали IP адреса по которым производилось подключение
В таблице представлены IPv4 удаленных серверов, с которыми устанавливается связь в процессе компрометации.
После успешного шифрования:
