O ransomware LockBit criptografa 225 sistemas em questão de horas

Um recurso do LockBit ransomware permite que hackers invadam uma rede corporativa e desenvolvam seu ransomware para criptografar centenas de dispositivos em questão de horas.

Lançado em setembro de 2019, o LockBit é um Ransomware como serviço (RaaS) relativamente novo, no qual os desenvolvedores são responsáveis ​​pelo site de pagamento e seu desenvolvimento. Bem como para o registro de “parceiros” para a distribuição de ransomware.

Sob esse regulamento, os desenvolvedores do LockBit recebem uma porcentagem dos pagamentos de resgate, geralmente em torno de 25 a 40%, enquanto os parceiros recebem uma parcela mais significativa em torno de 60 a 75%.

Rede corporativa criptografada em três horas

Em um novo relatório conjunto dos pesquisadores da McAfee Labs e da Northwave, que lidaram com a resposta a incidentes, temos informações sobre como uma subsidiária da LockBit ransomware adquiriu uma rede corporativa e criptografou cerca de 25 servidores e 225 estações de trabalho.

Tudo isso foi feito em apenas três horas.

De acordo com Patrick Van Looy, especialista em segurança cibernética da Northwave, os hackers obtiveram acesso à rede forçando brutalmente uma conta de administrador por meio de um antigo serviço de VPN.

Embora a maioria dos ataques cibernéticos exija que os invasores obtenham acesso às credenciais de administrador após violar uma rede, já que eles já tinham uma conta de administrador, eles estavam um passo à frente e poderiam desenvolver rapidamente ransomware na rede.

“Nesse caso, foi um clássico hit and run. Depois de obter acesso através da força bruta da VPN, o invasor quase imediatamente começou a executar o ransomware. Era cerca de 13:00. que o acesso inicial ocorreu às 16h. o intruso foi desconectado. Essa foi a única interação que notamos “, disse Looy à BleepingComputer por e-mail.

Nem todos os dispositivos da rede foram criptografados, dizendo que provavelmente foi a falha que causou o colapso da rede, disse Looy.

LockBit

O LockBit está se espalhando

A análise da McAfee mostra que o ransomware LockBit inclui um recurso que permite que ele se espalhe para outros computadores em uma rede.

Ao executar, além de criptografar os arquivos do dispositivo, o LockBit também executa solicitações de ARP para encontrar outros PCs ativos na rede e, em seguida, tenta se conectar a eles via SMB.

Se o ransomware conseguir conectar-se a um computador via SMB, ele emitirá um comando remoto do PowerShell para baixar o ransomware e executá-lo.

À medida que mais computadores na rede são infectados, esses mesmos computadores infectados ajudam a acelerar o desenvolvimento de ransomware em outros computadores na rede.

Esse recurso permitiu que invasores invadissem a rede e criptografassem 225 computadores automaticamente em apenas três horas.

Quanto mais rápido o ataque, menor a probabilidade de ser detectado

Quando os invasores invadem uma rede, quanto mais eles “se movem” por ela, maior a probabilidade de serem detectados.

Isso força os hackers não qualificados a serem detectados com mais frequência, à medida que tentam se espalhar lado a lado em uma rede, em comparação com os invasores mais avançados e especializados.

Com o ransomware se espalhando automaticamente, torna mais fácil o ataque de invasores não qualificados.

“O aspecto incomum, comparado a outros casos que tivemos, foi que o invasor permaneceu na rede por um período tão curto. Normalmente, vemos que os invasores estão na rede por dias ou até semanas antes do desenvolvimento do ransomware. ”

“Nesse caso, o hacker não precisava ser tão especializado. O ransomware se espalha por si próprio; portanto, depois de ter acesso (administrador), ele inicia o ransomware e realiza o trabalho ”, disse Looy.

Com a velocidade e a facilidade do desenvolvimento, devemos esperar que o LockBit continue crescendo e se expandindo com parceiros que desejam entrar e sair rapidamente de uma rede enquanto criptografam simultaneamente a maioria de seus dispositivos.