По крайней мере, такого подхода точно придерживаются в группировке LockBit. Мошенники решили упростить себе задачу проникновения в корпоративные сети, привлекая к этому сотрудников компании. В нашем посте мы рассмотрим последние новшества этого вредоносного ПО, а также расскажем про тактику группировки, которой удалось заразить немало организаций и получить от них хорошие отступные.

По данным открытых исследований, в 2020 году более 1 300 компаний пострадали от утечек данных, а по итогам первой половины 2021 года таких инцидентов насчитывалось уже 1 100. Таким образом, в текущем году можно ожидать 70% роста в числе заражений Ransomware и утечек данных. Именно программы-вымогатели составляют основную угрозу для малого и среднего бизнеса, а также для государственных структур, здравоохранения и ряда других отраслей.

В прошлом году аналитики Forrester говорили о том, что количество утечек данных по вине инсайдеров вырастет в 2021 году на 8%. При это треть всех инцидентов будет иметь исключительно внутренние причины. А по данным Verizon 2021 Data Breach Investigations Report инсайдеры будут причиной 22% инцидентов безопасности. Ведь “пока люди продолжают работать из дома с важными корпоративными данными, количество инсайдерских атак будет только расти”, — отмечают в отчете.

Инсайдер, найдись!

А теперь самое интересное: кибермошенники, распространяющие программу-вымогателя LockBit, стали целенаправленно искать инсайдеров в различных корпорациях и стремиться выстроить с ними “деловые отношения”. Нелояльным сотрудникам предлагают довольно приличные компенсации за их помощь в проникновении через корпоративный периметр. 

Группа LockBit недавно занимала первые строчки в сводках новостей, успешно зашифровав информационные системы британского перевозчика Merseyrail. Это случилось буквально несколько месяцев назад — в апреле 2021. Однако буквально несколько дней назад австралийский центр наблюдения за угрозами (Australian Cyber Security Centre  или ACSC) сообщил о том, что LockBit 2.0 заразил множество организаций из самых разных отраслей. 

Выкуп дает хороший доход “кроту”

Впервые LockBit был замечен на горизонте в сентябре 2019 года. Это достаточно уникальная разновидность Ransomware, которую предлагают в виде сервиса, и которая самостоятельно распространяется в локальных сетях. Таким образом, для заражения LockBit не обязательно, чтобы атакующий действительно находился внутри сети. И хотя в отличие от других групп новости о заражениях LockBit не публикуют на первых страницах “Ведомостей” или “Коммерсанта”, это вредоносное ПО оказывается действительно эффективным. Они требуют от жертв меньше денег, а часть выкупа — иногда порядка 70-80% группа делит с наемниками со стороны персонала компаний.

Подобная стратегия подкупа потенциальных вредителей является опасным знаком для любого бизнеса. Ведь какого бы размера и профиля ни была компания, рано или поздно, один или другой сотрудник почувствует себя обиженным, и не сможет оказаться от крупной суммы денег, даже несмотря на то, что подобные действия в большинстве стран считаются уголовным преступлением. Учитывая повсеместный переход на удаленную работу, многие ничего не могут сделать с открытостью своих данных. А это значит, что сотрудник может случайно или специально организовать утечку конфиденциальной информации, включая чувствительную информацию, учетные данные и так далее.

Новые фичи LockBit 2.0 

Стоит сказать о некоторых новых фишках LockBit, которые были представлены в релизе 2.0 этого вредоносного ПО. Одна из них — отличительная особенность LockBit, которая выделяет этого вымогателя на фоне остальных. Она называется Automated ransomware distribution. Эта разновидность Ransomware автоматизирует шифрование домена Windows при помощи групповых политик Active Directory. LockBit добивается получения привилегий, а после этого создает новые групповые политики на уровне контроллера домена. После этого новые правила распространяются на все устройства сети, отключая защиту. Следом идет масштабное заражение Ransomware.

Эта функция демонстрирует, чего можно ждать, в том числе, от новых версий прочих семейство Ransomware. Ведь автоматизация процессов и использование ИИ — прекрасная возможность поднять уровень вредоносности ПО..

Но для LockBit — это еще не все. Дополнительная фишка обновленной программы-вымогателя — использование Egregor “print bomb”. После успешного заражения сети все принтеры начинают бесконечно печатать сообщения о необходимости оплатить выкуп. В результате о факте атаки узнает как можно больше людей. 

Вопрос защиты информации

Возрастающая изобретательность разработчиков вредоносного ПО уже не раз вызывала удивление экспертов. Теперь же нужно учитывать, то для защиты от LockBit необходимо сформировать как минимум несколько уровней безопасности:

• Установить решение, обеспечивающее возможность восстановления данных в случае шифрования части файлов

• Использовать средства безопасности, способные определить подозрительное поведение ПО и заблокировать его на случай смены сигнатуры программы-вымогателя

• Развернуть комплекс DLP для того, чтобы не позволить подкупленному инсайдеру передать хакерам доступ к административному аккаунту или другой ценной информации. 

В результате уровень защиты в реальности зависит от целого спектра технологий безопасности. Интересно, есть ли в вашей компании подобные решения, и насколько хорошо они работают?