«Лаборатория Касперского»: злоумышленники продолжают использовать утёкший билдер шифровальщика LockBit для кибератак, в том числе в России
Злоумышленники продолжают использовать утёкший в 2022 г. вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда. В 2024 г. эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок в инцидентах в России, а также в других странах. Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утёкший билдер могли использовать и конкуренты группы LockBit.
Функции распространения по сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учётные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения по сети. Поскольку злоумышленники завладели учётными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учётных данных могла самостоятельно распространяться по сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов.
Билдер также позволяет злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учётные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определённых файлов, например всех файлов .xlsx и .docx, или определённых систем.
«Чаще всего злоумышленники используют преимущественно стандартную или слегка изменённую конфигурацию утекшего билдера, но не исключаем, что в будущем возможны ещё такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться по сети. В России шифровальщик LockBit часто используют в атаках, цель которых ― полностью уничтожить данные, а не получить выкуп. Эта угроза может нести разрушительные последствия для компаний», ― сказал Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».
Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям: своевременно устанавливать обновления ПО на всех системах; применять многофакторную аутентификацию для доступа к важным ресурсам; создавать резервные копии критичных данных; отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки; регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия; регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и о том, как их избежать; использовать защитное решение, такое как Kaspersky Endpoint Security для бизнеса, а также сервис Kaspersky Managed Detection and Response, для проактивного мониторинга угроз.