«Злоумышленники продолжают использовать утёкший билдер шифровальщика LockBit для кибератак»

Злоумышленники продолжают использовать утёкший в 2022 году вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда. В 2024 году эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок в инцидентах в нескольких странах. Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утекший билдер могли использовать и конкуренты группы LockBit.

Функции распространения по сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учётные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения по сети. Поскольку злоумышленники завладели учётными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учётных данных могла самостоятельно распространяться по сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.

Билдер также позволяет злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учётные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определённых файлов, например всех файлов .xlsx и .docx, или определённых систем.

««Чаще всего злоумышленники используют преимущественно стандартную или слегка изменённую конфигурацию утекшего билдера, но не исключаем, что в будущем возможны ещё такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться по сети», ― комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».

Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям:

- своевременно устанавливать обновления ПО на всех системах;

- применять многофакторную аутентификацию для доступа к важным ресурсам;

- создавать резервные копии критичных данных;

- отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки;

- регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия;

- регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и о том, как их избежать;

- использовать надёжное защитное решение, такое как Kaspersky Security для бизнеса, а также сервис Managed Detection and Response (MDR), для проактивного мониторинга угроз.