Como se proteger de um ransonware que contrata afiliados e paga comissões por cada empresa infectada? Difícil, mas é possível! A estratégia usada na maioria das vezes é o ataque pishing ou malwares, entenda.
O ransomware Lockbit é uma das ameaças mais perigosas e sofisticadas que afetam empresas e organizações em todo o mundo. Neste post, vamos explorar as características e os métodos desse malware, bem como as formas de se proteger e se recuperar de um ataque.
O que é o ransomware Lockbit?
O ransomware Lockbit é um tipo de malware que criptografa os arquivos das vítimas e exige um pagamento em criptomoedas para liberá-los. O Lockbit se espalha por meio de campanhas de phishing, exploração de vulnerabilidades, acesso remoto e outras técnicas de intrusão.
Ele é um dos principais representantes do modelo RaaS (Ransomware-as-a-Service), que consiste em oferecer o malware como um serviço para outros cibercriminosos, que ficam com uma parte do resgate. O programa de afiliados do Lockbit permite que os participantes ganhem até 80% do valor pago pelas vítimas.
O Lockbit também se destaca por oferecer um programa de recompensa por bugs, que paga até $50,000 para quem encontrar falhas no código do malware ou na infraestrutura dos operadores. Esse é um incentivo para melhorar a qualidade e a segurança do ransomware, bem como para atrair novos talentos para o grupo.
Além disso, o Lockbit fornece um portal na dark web para divulgar os dados roubados das empresas alvo, caso elas não paguem o resgate. Esse portal também serve como uma forma de pressionar as vítimas e de vender as informações para outros criminosos.
Uma curiosidade sobre ele é que ele chegou a incentivar as pessoas a fazerem tatuagens com o seu logotipo em troca de pagamento. Essa foi uma forma de propaganda e de demonstração de poder do grupo, que se considera uma “família“.
A evolução do ransomware Lockbit
O ransomware Lockbit surgiu em 2019, mas ganhou notoriedade em 2020, quando lançou a sua versão 2.0, com novas funcionalidades e melhorias. Em junho de 2022, foi detectada a versão 3.0 do malware, também chamada de Lockbit Black.
Essa versão apresenta novos desafios para os analistas de segurança, pois usa executáveis criptografados que dificultam a análise estática e dinâmica. Além disso, o Lockbit 3.0 usa técnicas de proteção robustas contra engenharia reversa, como ofuscação, anti-debugging e anti-VM.
O Lockbit 3.0 também usa funções não documentadas do Windows para realizar algumas operações, como obter o nome do usuário atual, verificar se o sistema é um controlador de domínio ou obter informações sobre os discos locais.
Em agosto de 2022, ocorreu um fato inesperado: o construtor do Lockbit 3.0 vazou no GitHub. O construtor é uma ferramenta usada pelos operadores do ransomware para gerar as cargas maliciosas com os parâmetros desejados. Duas variantes do construtor foram publicadas por diferentes usuários, com diferentes datas de compilação.
Esse vazamento teve consequências imediatas: o construtor do Lockbit 3.0 foi usado em diversos ciberataques contra empresas e organizações em vários países. Um dos casos mais emblemáticos foi o da agência NATIONAL HAZARD, que teve seus sistemas críticos comprometidos por uma intrusão que usou a variante do Lockbit 3.0. O atacante usou uma nota de resgate personalizada, diferente da padrão usada pelo grupo Lockbit.
Outros grupos também aproveitaram os construtores exfiltrados para lançar seus próprios ataques com notas exclusivas. Isso mostra que o vazamento do construtor pode ter sido intencional ou resultado de uma disputa interna entre os membros do grupo Lockbit.
A primeira constatação foi que o construtor carece de mecanismos de proteção para evitar o uso indevido por outros atores. Qualquer pessoa que tenha acesso ao construtor pode gerar uma carga maliciosa do Lockbit 3.0 sem dificuldades.
O construtor permite configurar diversos parâmetros, como o valor do resgate, o tempo limite, a extensão dos arquivos criptografados, a nota de resgate, os domínios de comando e controle, as chaves de criptografia, entre outros.
Esses parâmetros são embutidos na carga maliciosa sem passar por um processo de engenharia reversa. A configuração é criptografada e armazenada no binário, usando uma chave XOR derivada de uma semente aleatória. Além disso, o Lockbit 3.0 usa uma função de hash personalizada para calcular os valores na configuração.
Como se proteger e se recuperar do ransomware Lockbit
O ransomware Lockbit é uma ameaça séria e complexa, que requer medidas de prevenção e resposta adequadas. Algumas recomendações para se proteger e se recuperar de um ataque são:
- Manter os sistemas operacionais e as aplicações atualizados com as últimas correções de segurança.
- Usar soluções de antivírus e firewall para bloquear o acesso e a execução de arquivos maliciosos.
- Evitar abrir anexos ou links suspeitos em e-mails ou mensagens.
- Restringir o acesso remoto aos sistemas e usar autenticação forte e multifatorial.
- Implementar políticas de segurança para limitar os privilégios dos usuários e evitar a propagação do ransomware.
- Fazer backups regulares dos dados importantes e armazená-los em locais seguros e desconectados da rede.
- Em caso de infecção, isolar os sistemas afetados e notificar as autoridades competentes.
- Não pagar o resgate, pois isso não garante a recuperação dos dados e incentiva os criminosos a continuar com suas atividades.
- Buscar ajuda profissional para tentar restaurar os arquivos criptografados ou remover o ransomware.
Você sabe como se proteger contra o ransomware, o malware que criptografa seus arquivos e pede resgate para liberá-los? Esse tipo de ataque está cada vez mais frequente e perigoso, e pode causar grandes prejuízos para as empresas. Por isso, você precisa de uma solução completa e eficaz para se defender e se recuperar de um ataque de ransomware.
O Endpoint Central é uma solução da ManageEngine que oferece uma proteção anti-ransomware de alta qualidade, baseada em machine learning. Com ela, você pode:
- Detectar anomalias nos arquivos que indicam um ataque de ransomware, usando algoritmos inteligentes que reconhecem padrões de comportamento.
- Resolver os incidentes com rapidez e precisão, verificando se são reais ou falsos e tomando as medidas necessárias.
- Recuperar os arquivos criptografados com facilidade, usando cópias sombra dos arquivos que são feitas a cada três horas pelo serviço VSS da Microsoft.
- Excluir executáveis confiáveis da detecção e das notificações, usando critérios como certificados assinados e pastas permitidas.
Não deixe o ransomware comprometer seus dados e sua produtividade. Experimente o Endpoint Central e garanta uma segurança de endpoint robusta e proativa. Descubra o Poder dessa ferramenta e proteja-se contra o Ransomware Agora! Clique no botão abaixo e faça hoje seu download e POC por 30 dias!
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
