WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Các kỹ thuật lây nhiễm của mã độc tống tiền LockBit
LockBit hoạt động theo mô hình ransomware-as-a-service (RaaS), được phát hiện lần đầu vào tháng 9 năm 2019. Hiện, LockBit đã vượt qua các nhóm ransomware đình đám như Conti, Hive, BlackCat và trở thành ransomware thống trị của năm.
Nguyên nhân là do kẻ đứng sau mã độc cấp phép truy cập cho ‘khách hàng’ để ‘khách hàng’ có thể tự do sử dụng các công cụ, kỹ thuật, hạ tầng của mình trong các cuộc tấn công và kiếm được tới 80% mỗi khoản tiền chuộc từ nạn nhân.
LockBit cũng sử dụng kỹ thuật tống tiền kép phổ biến để ‘quét sạch’ dữ liệu của mục tiêu trước khi mã hóa. Đến tháng 5 năm 2022, Locket đã có ít nhất 850 nạn nhân.
Theo Palo Alto Networks, trong quý đầu năm 2022, LockBit chiếm tới 46% tổng số các vi phạm liên quan đến ransomware. Chỉ riêng trong tháng 6, nhóm này đã dính tới 44 vụ tấn công, trở thành ransomware hoạt động nhiều nhất.
Các cuộc tấn công của LockBit sử dụng một số cách để lây nhiễm: Khai thác cổng RDP bị lộ, dùng email lừa đảo để tải xuống các tải trọng độc hại hoặc lợi dụng các lỗi máy chủ chưa được vá cho phép truy cập từ xa vào mạng mục tiêu.
Tiếp sau đó là các hoạt động do thám và đánh cắp thông tin xác thực, cho phép hacker xâm nhập vào các máy ngang hàng trong hệ thống, duy trì sự tồn tại, nâng cao đặc quyền và khởi chạy ransomware, kèm với đó là chạy các lệnh để xóa các bản sao lưu và ngăn chặn sự phát hiện của tường lửa và phần mềm diệt virus.
Trong ba năm kể từ khi xuất hiện, LockBit đã có hai nâng cấp đáng chú ý là LockBit 2.0 vào tháng 6 năm 2021 và LockBit 3.0 vào tháng trước với hỗ trợ thanh toán tiền điện tử Zcash cùng một chương trình bug bounty - chương trình đầu tiên của một nhóm ransomware.
Chương trình bug bounty này tuyên bố sẽ thưởng lên tới 1 triệu USD cho việc tìm ra các điểm yếu an ninh trong trang web và phần mềm locker của nó, các ý tưởng xuất sắc, hoặc cách làm lộ IP máy chủ lưu trữ trang web trên mạng TOR.
Đây là một dấu hiệu cho thấy các nhóm hacker đang hoạt động như doanh nghiệp CNTT hợp pháp, cập nhật tính năng thường xuyên, thậm chí cả tiền thưởng để giải quyết vấn đề.
Tuy nhiên, có vẻ như LockBit 3.0 hay LockBit Black được lấy cảm hứng từ một dòng ransomware BlackMatter, một phiên bản đổi tên của DarkSide đã dừng hoạt động vào tháng 11 năm 2021.
Nguyên nhân là do kẻ đứng sau mã độc cấp phép truy cập cho ‘khách hàng’ để ‘khách hàng’ có thể tự do sử dụng các công cụ, kỹ thuật, hạ tầng của mình trong các cuộc tấn công và kiếm được tới 80% mỗi khoản tiền chuộc từ nạn nhân.
LockBit cũng sử dụng kỹ thuật tống tiền kép phổ biến để ‘quét sạch’ dữ liệu của mục tiêu trước khi mã hóa. Đến tháng 5 năm 2022, Locket đã có ít nhất 850 nạn nhân.
Theo Palo Alto Networks, trong quý đầu năm 2022, LockBit chiếm tới 46% tổng số các vi phạm liên quan đến ransomware. Chỉ riêng trong tháng 6, nhóm này đã dính tới 44 vụ tấn công, trở thành ransomware hoạt động nhiều nhất.
Các cuộc tấn công của LockBit sử dụng một số cách để lây nhiễm: Khai thác cổng RDP bị lộ, dùng email lừa đảo để tải xuống các tải trọng độc hại hoặc lợi dụng các lỗi máy chủ chưa được vá cho phép truy cập từ xa vào mạng mục tiêu.
Tiếp sau đó là các hoạt động do thám và đánh cắp thông tin xác thực, cho phép hacker xâm nhập vào các máy ngang hàng trong hệ thống, duy trì sự tồn tại, nâng cao đặc quyền và khởi chạy ransomware, kèm với đó là chạy các lệnh để xóa các bản sao lưu và ngăn chặn sự phát hiện của tường lửa và phần mềm diệt virus.
Trong ba năm kể từ khi xuất hiện, LockBit đã có hai nâng cấp đáng chú ý là LockBit 2.0 vào tháng 6 năm 2021 và LockBit 3.0 vào tháng trước với hỗ trợ thanh toán tiền điện tử Zcash cùng một chương trình bug bounty - chương trình đầu tiên của một nhóm ransomware.
Chương trình bug bounty này tuyên bố sẽ thưởng lên tới 1 triệu USD cho việc tìm ra các điểm yếu an ninh trong trang web và phần mềm locker của nó, các ý tưởng xuất sắc, hoặc cách làm lộ IP máy chủ lưu trữ trang web trên mạng TOR.
Đây là một dấu hiệu cho thấy các nhóm hacker đang hoạt động như doanh nghiệp CNTT hợp pháp, cập nhật tính năng thường xuyên, thậm chí cả tiền thưởng để giải quyết vấn đề.
Tuy nhiên, có vẻ như LockBit 3.0 hay LockBit Black được lấy cảm hứng từ một dòng ransomware BlackMatter, một phiên bản đổi tên của DarkSide đã dừng hoạt động vào tháng 11 năm 2021.
Theo The Hacker News