Sophos odhalil, že ransomware LockBit využil automatizované nástroje na vystopování specifického účetního a prodejního softwaru

Další nové techniky ransomwaru LockBit zahrnují přejmenovávání souborů PowerShellu pro vyhnutí se detekci a použití Dokumentů Google pro převzetí kontroly 

Praha, 23. října 2020 Sophos, celosvětový lídr v řešeních kybernetického zabezpečení nové generace, publikoval svoji nejnovější studii o ransomwaru LockBit s názvem „Útočníci za ransomwarem LockBit používají automatizované útočné nástroje na identifikaci hodnotných cílů“, která ukazuje, jak LockBit používá nástroje pro PowerShell na vyhledávání konkrétních podnikových aplikací v napadených sítích, včetně účetního a prodejního softwaru. Jestliže otisk vygenerovaný tímto vyhledáváním splňuje kritéria klíčových slov, nástroj automaticky provede řadu úkolů, včetně spuštění ransomwaru LockBit.

Výzkumníci zároveň odhalili řadu nových metod útoků, které LockBit využívá, aby se vyhnul odhalení. Ty zahrnují například přejmenovávání souborů PowerShellu a používání vzdáleného dokumentu v Dokumentech Google na komunikaci řídicích příkazů. Vzhledem k vysoce automatizované povaze útoků se ransomware, jakmile je spuštěn, během pěti minut rozšíří po síti a současně likviduje záznamy o své činnosti.

„Zájem ransomwaru LockBit o konkrétní podnikové aplikace a klíčová slova naznačuje, že útočníci jednoznačně hledají systémy, které jsou pro menší společnosti cenné, tedy systémy, které ukládají finanční informace a zajišťují každodenní práci, s cílem tlačit na oběti, aby zaplatily, resp. zaplatily rychleji,“ říká Sean Gallagher, senior threat researcher společnosti Sophos. „Už jsme viděli, jak ransomware po svém spuštění zastavuje podnikové aplikace, ale toto je poprvé, kdy vidíme, že útočníci automatizovaným způsobem pátrají po konkrétních typech aplikací, aby si vyhodnotili potenciální cíle.“

Útočníci také během napadení rozsáhlým způsobem využívají PowerShell a upravují kód tak, aby vyhovoval jejich potřebám.

„Vypadá to, že gang kolem ransomwaru LockBit sleduje další ransomwarové skupiny, jako je třeba i Ryuk, u které Sophos nedávno zjistil používání ransomwaru Cobalt Strike, které přizpůsobují nástroje vyvinuté pro penetrační testování za účelem automatizace a zrychlení jejich útoků,“ řekl Gallagher. „V tomto případě PowerShellové skripty pomáhají útočníkům identifikovat systémy, které mají aplikace s obzvláště cennými daty, takže neplýtvají svým časem na šifrování dat nebo „starostí“ o oběti, u kterých je méně pravděpodobné, že zaplatí. Využívají tyto nástroje automatizovaným způsobem, aby se v síti rozšířili, jak je to jen možné, přičemž omezují svoji skutečnou manuální aktivitu a vyhledávají nejslibnější oběti.“

Útočníci za ransomwarem LockBit se snaží skrýt svoje aktivity, aby vypadaly jako běžné automatizované administrativní úkony. Zneužívají k tomu nativní nástroje – vytvořením maskovaných kopií skriptovacích komponent Windows a jejich spuštěním pomocí Plánovače úloh ve Windows. Upraví také integrovanou ochranu proti malwaru, aby nemohla fungovat.

„Jediným způsobem, jak se proti těmto typům ransomwarových útoků bránit, je hloubková obrana s důslednou implementací ochrany před malwarem napříč všemi prostředky. Pokud jsou služby ponechány odhalené nebo nesprávně nakonfigurované, útočníci je mohou snadno využít,“ uvádí Gallagher.

Aktuální studie pokračuje v hloubkové analýze ransomwaru LockBit, kterou Sophos zveřejnil v dubnu 2020, odhaluje jeho vnitřní fungování a ukazuje, jak se gang rozšiřoval k cílenému vydírání společně s ransomwary Maze a REvil. 

Další informace o ransomwaru LockBit a ostatních jsou k dispozici na webu SophosLabs Uncut, kde experti společnosti Sophos pravidelně publikují svoje aktuální studie a důležitá zjištění, jako třeba že Maze využívá Ragnar Locker nebo o návratu ransomwaru Ryuk. Výzkumníci a IT manažeři mohou sledovat SophosLabs Uncut v reálném čase na Twitteru na @SophosLabs

Další zdroje

###

O společnosti Sophos

Jako celosvětový lídr v oblasti nové generace kybernetické bezpečnosti chrání Sophos více než 400 000 organizací všech velikostí ve více než 150 zemích před nejvyspělejšími kybernetickými hrozbami současnosti. S podporou globálního týmu pro zkoumání hrozeb a analýzu dat SophosLabs chrání řešení Sophos využívající cloud a umělou inteligenci jak koncové body (notebooky, servery a mobilní zařízení) tak i sítě před vyvíjejícími se technikami kybernetických útoků včetně ransomwaru, malwaru, exploitů, exfiltrování dat, narušení aktivními útočníky, phishingu atd. Cloudová platforma Sophos Central pro správu zabezpečení integruje celé portfolio nové generace produktů společnosti Sophos, včetně řešení pro koncové body Intercept X a nové generace firewallů XG, do jediného systému „synchronizovaného zabezpečení“ dostupného prostřednictvím sady API. Společnost Sophos provedla přechod k nové generaci kybernetického zabezpečení s využitím pokročilých možností cloudu, strojového učení, API, automatizace, řízené reakce na hrozby a dalších technologií, aby poskytovala nejlepší možnou úroveň ochrany organizacím všech velikostí. Sophos prodává své produkty a služby výhradně prostřednictvím globální sítě více než 53 000 partnerů a poskytovatelů řízených služeb. Prostřednictvím produktů Sophos Home zpřístupňuje Sophos své inovativní komerční technologie i koncovým zákazníkům. Sophos sídlí v britském Oxfordu a je veřejně obchodovatelnou společností na londýnské burze pod symbolem „SOPH“. Více informací naleznete na stránkách www.sophos.com.