Злоумышленники продолжают использовать утёкший билдер шифровальщика LockBit для кибератак

Злоумышленники продолжают использовать утёкший в 2022 году вариант билдера (builder) программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда. В 2024 году эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок во многих странах. Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утекший билдер могли использовать и конкуренты группы LockBit.

Компания сообщает, что функции распространения по сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учётные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения по сети. Поскольку злоумышленники завладели учётными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учётных данных могла самостоятельно распространяться по сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.

Билдер также позволяет злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учётные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определённых файлов, например всех файлов .xlsx и .docx, или определённых систем.

«Чаще всего злоумышленники используют преимущественно стандартную или слегка изменённую конфигурацию утекшего билдера, но не исключаем, что в будущем возможны ещё такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться по сети. В России шифровальщик LockBit часто используют в атаках, цель которых ― полностью уничтожить данные, а не получить выкуп. Эта угроза может нести разрушительные последствия для компаний», ― комментирует Константин Сапронов, руководитель Глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».

Подробнее об этой угрозе можно прочитать по ссылке.

Для защиты от программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям:

• своевременно устанавливать обновления ПО на всех системах;
• применять многофакторную аутентификацию для доступа к важным ресурсам;
• создавать резервные копии критичных данных;
• отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки;
• регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия;
• регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и о том, как их избежать;
• использовать надёжное защитное решение, такое как Kaspersky Securityдля бизнеса, а также сервис Managed Detection and Response (MDR), для проактивного мониторинга угроз.