LockBit to bardzo aktywna grupa cyberprzestępcza korzystająca z oprogramowania ransomware. Szacuje się, że gang jest odpowiedzialny za największą liczbę ofiar ataków ransomware w 2022 r., o czym firma TEHTRIS pisała szczegółowo w swoim raporcie. LockBit stosuje technikę podwójnego wymuszenia, by w oczach ofiar zagrożenie było jeszcze poważniejsze: najpierw cyberprzestępcy wykradają informacje, które mogą być krytyczne dla atakowanej firmy, a następnie szyfrują resztę danych.
Atakujący żądają okupu zarówno za zaniechanie upublicznienia skradzionych informacji, jak i za udostępnienie klucza pozwalającego na odzyskanie zaszyfrowanych danych. W najnowszych atakach LockBit zaczął nawet wprowadzać trzecie wymuszenie w postaci ataku DDoS – ofiara ma zapłacić okup za zaprzestanie bombardowania jej zasobów online śmieciowymi żądaniami.
W tym wpisie przyjrzymy się dokładniej, jak działa atak z użyciem ransomware LockBit i jak rozwiązania TEHTRIS radzą sobie z jego poszczególnymi etapami.
Co istotne, na potrzeby demonstracji wszystkie funkcje automatycznej neutralizacji oferowane przez rozwiązania TEHTRIS zostały wyłączone, aby możliwe było zaobserwowanie, w jaki sposób poszczególne moduły ochrony reagują na kolejne fazy ataku. W prawdziwej chronionej sieci atak zostałby natychmiast zneutralizowany jeszcze przed wykonaniem złośliwego kodu.
Etap 1: Wstępny dostęp do systemu ofiary
Ofiara otrzymuje phishingową wiadomość e-mail z załączonym dokumentem Worda. Uruchomienie załącznika powoduje wykorzystanie luki Follina (CVE-2022-30190), która pozwala na zdalne uruchomienie dowolnego kodu i jeszcze kilka miesięcy temu była podatnością dnia zerowego.
Platforma XDR generuje dwa rodzaje ostrzeżeń:
- Ostrzeżenie o próbie wykorzystania znanej luki Follina – na podstawie zdefiniowanych wcześniej zasad dotyczących uruchamiania aplikacji.
- Ostrzeżenie o uruchomieniu podejrzanych procesów. To oznacza, że nawet gdyby luka nie była znana, lub załatana, niebezpieczny proces i tak zostałby wykryty, a także najprawdopodobniej automatycznie zatrzymany – w zależności od konfiguracji ochrony.
Należy zwrócić uwagę, że przy zastosowaniu poprawnych ustawień ochrony i aktywacji automatycznej neutralizacji atak zostałby powstrzymany już na tym etapie. W naszym przykładzie pozwalamy atakowi rozgrywać się dalej i obserwujemy jak technologie TEHTRIS reagują na jego kolejne etapy.
Etap 2: Zagnieżdżenie się w systemie
Gdy atakujący uzyskają już dostęp do urządzenia ofiary, ich kolejnym krokiem jest zapewnienie sobie przetrwania w systemie, nawet w przypadku ponownego uruchomienia komputera. W tym celu wykorzystywany jest backdoor uruchamiany poprzez Powershell systemu Windows. Reakcją ochrony jest wygenerowanie przez TEHTRIS XDR alertu heurystycznego (jak również automatyczna neutralizacja – w zależności od konfiguracji) dotyczącego próby uruchomienia niebezpiecznego, interaktywnego skryptu Powershell.
Etap 3: Podniesienie uprawnień
W kolejnym kroku atakujący podejmują próbę zwiększenia poziomu swoich uprawnień w atakowanym systemie. W tym celu cyberprzestępcy wykorzystują systemowy proces msiexec.exe, co prowadzi do wygenerowana ostrzeżenia na bazie skonfigurowanej uprzednio polityki aplikacji. Ostrzeżenie informuje o niebezpiecznej próbie uruchomienia pliku msiexec.exe.
Etap 4: Uzyskanie dostępu do danych uwierzytelniania
Następnie przestępcy próbują uzyskać dostęp do danych uwierzytelniania przechowywanych w pamięci systemowego procesu LSASS (Local Security Subsystem Service). Zawartość pamięci LSASS może zostać w całości skopiowana i przeanalizowana w obrębie lokalnego systemu. Na próbę wykonania tej operacji ochrona reaguje ostrzeżeniem o nieautoryzowanym dostępie do pamięci LSASS z poziomu niepodpisanego cyfrowo pliku wykonywalnego.
W prawdziwym systemie warto aktywować regułę, która automatycznie zabija niepodpisane procesy, które próbują uzyskiwać dostęp do pamięci LSASS.
Etap 5: Utrudnienie ofierze samodzielnego odzyskania danych
Aby zwiększyć szansę na otrzymanie okupu, cyberprzestępcy chcą się upewnić, że ofiara nie będzie w stanie samodzielnie odzyskać danych – bez użycia ich narzędzia deszyfrującego. W tym celu atakujący usuwają kopie zapasowe systemu Windows. Dzięki polityce aplikacji monitorującej procesy systemowe ochrona generuje ostrzeżenie o próbie uruchomienia polecenia usuwającego kopie.
Warto podkreślić, że TEHTRIS EDR pobierze dzienniki zdarzeń ze stacji roboczej (a TEHTRIS SIEM zrobi to w przypadku serwerów), zatem będzie je można analizować nawet w przypadku, gdy dojdzie do usunięcia kopii zapasowych.
Etap 6: Unikanie wykrycia
Atakujący chcą mieć pewność, że mogą działać w atakowanym systemie tak długo, jak tylko będą chcieli i dlatego próbują unikać wykrycia przez systemy ochrony stosując następujące techniki:
- Wyłączenie systemów bezpieczeństwa (w tym przypadku rozwiązania TEHTRIS EDR) przy użyciu narzędzia ProcessHacker.exe, co generuje dwa ostrzeżenia. Pierwsze jest wywołane oceną antywirusową pliku ProcessHacker.exe, a drugie ma źródło w polityce aplikacji, która monitoruje techniki wpływania na działanie ochrony.
- Usunięcie śladów szkodliwej aktywności w systemie w celu utrudnienia lub uniemożliwienia ekspertom prowadzenia prac w zakresie kryminalistyki cyfrowej po ataku. W tym celu przestępcy czyszczą zawartość dzienników systemowych przy użyciu narzędzia wevtutil.exe. Polityka aplikacji generuje ostrzeżenie o podejrzanym użyciu narzędzia wevtutil.exe i identyfikuje polecenia mające na celu usunięcie wskaźników szkodliwej obecności. Co więcej, próba czyszczenia dzienników zdarzeń generuje także ostrzeżenie modułów EDR oraz SIEM.
Etap 7: Kradzież danych i wysłanie ich na serwer przestępców
Mamy do czynienia z podwójnym wymuszeniem, więc jeszcze przed rozpoczęciem szyfrowania danych atakujący kradną dokumenty, które zostaną uznane za istotne dla ofiary, po czym wyprowadzają je poza sieć atakowanej firmy. Ma to na celu szantażowanie ofiary upublicznieniem tych danych. W tym celu przestępcy korzystają z narzędzia rar.exe do spakowania danych i podejmują próbę wysłania archiwum na zewnętrzny serwer.
Dzięki odpowiednim politykom aplikacji generowane są dwa ostrzeżenia: pierwsze dotyczy próby podejrzanego wykorzystania narzędzia do kompresowania danych, a drugie jest związane z użyciem niebezpiecznego odnośnika do zewnętrznego serwera.
Etap 8: Szyfrowanie danych
Ostatnim etapem ataku jest szyfrowanie danych ofiary (rozszerzenia zaszyfrowanych plików są zmieniane na lockbit). Co ważne, narzędzia firmy TEHTRIS wykryłyby atak na długo przed tym krokiem. Niemniej jednak, TEHTRIS wdrożył specjalne technologie, które mają za zadanie zapewnić ochronę, gdy z jakiegoś powodu dojdzie do próby szyfrowania danych. Jedną z nich są pliki-pułapki, czyli pliki rozmieszczone celowo w chronionej infrastrukturze, by błyskawicznie identyfikować jakąkolwiek nieautoryzowaną aktywność związaną z modyfikowaniem i/lub szyfrowaniem danych – nawet przez nieznane odmiany ransomware. W omawianym przypadku ochrona wygeneruje ostrzeżenia na podstawie wykrycia szyfrowania/usuwania plików-pułapek oraz w oparciu o analizę podejrzanego procesu w sandboksie.
TEHTRIS zabezpiecza Twoją infrastrukturę
TEHTRIS XDR Platform chroni firmową sieć na każdym etapie cyberataku – także w przypadku zaawansowanych i nieznanych zagrożeń.
Omówienie reakcji ochrony na atak ransomware LockBit jest także dostępne w tym dokumencie PDF oraz w tym filmie.
Więcej informacji o rozwiązaniu TEHTRIS XDR Platform znajduje się na tej stronie.
Źródło: tehtris.com/en/blog/lockbit-ransomware-double-extorsion-attack-protection-by-tehtris-xdr-platform