Злоумышленники продолжают использовать утёкший в 2022 году вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда. В 2024 году эксперты по кибербезопасности столкнулись с использованием таких сборок в инцидентах в России, а также в других странах. Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утёкший билдер могли использовать и конкуренты группы LockBit.
Как отмечают в «Лаборатории Касперского», функции распространения по сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учётные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения по сети. Поскольку злоумышленники завладели учётными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры.
Эта версия шифровальщика при помощи украденных учётных данных могла самостоятельно распространяться по сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.
Билдер также позволяет злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учётные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определённых файлов, например всех файлов .xlsx и .docx, или определённых систем.
Чаще всего злоумышленники используют преимущественно стандартную или слегка изменённую конфигурацию утекшего билдера, но не исключаем, что в будущем возможны ещё такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться по сети. В России шифровальщик LockBit часто используют в атаках, цель которых ― полностью уничтожить данные, а не получить выкуп. Эта угроза может нести разрушительные последствия для компаний.
Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты рекомендуют компаниям:
- своевременно устанавливать обновления ПО на всех системах;
- применять многофакторную аутентификацию для доступа к важным ресурсам;
- создавать резервные копии критичных данных;
- отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки;
- регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия;
- регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и о том, как их избежать;
- использовать надёжное защитное решение для проактивного мониторинга угроз.