Mở cửa 8:00-17:30: Thứ 2 - Thứ 7

Ransomware LockBit – Lockbit 3.0: Mối nguy hại nghiêm trọng nhất


Khi nói đến các mối đe dọa an ninh mạng mới nhất và lớn nhất, có một cái tên nổi bật: LockBit 3.0. Vào năm 2022 , LockBit là nhóm ransomware và nhà cung cấp Ransomware-as-a-Service (RaaS) toàn cầu hoạt động tích cực nhất xét về số lượng nạn nhân được xác nhận trên trang web rò rỉ dữ liệu của họ.

Mối đe dọa này đánh dấu một bước tiến đáng kể trong lĩnh vực ransomware, đặc trưng bởi các chiến thuật tinh vi và khả năng toàn diện của nó. LockBit 3.0 không chỉ thể hiện khả năng vượt trội trong việc thích ứng với các biện pháp phòng vệ an ninh mạng đang phát triển mà còn thể hiện mức độ tổ chức và phối hợp cao hơn. Nhóm này sử dụng các thuật toán mã hóa tiên tiến và tận dụng các kỹ thuật kỹ thuật xã hội phức tạp, khiến cho các cuộc tấn công của chúng trở nên đặc biệt khó ngăn chặn.

Trong bài phân tích này, chúng tôi đi sâu vào các đặc điểm và chiến lược chính được LockBit 3.0 sử dụng, trang bị kiến ​​thức cho những người bảo vệ để đối mặt với mối đe dọa mạnh mẽ và luôn thay đổi này. Bằng cách hiểu rõ các sắc thái trong chiến thuật của LockBit 3.0, những người bảo vệ có thể nâng cao khả năng sẵn sàng, phát triển các biện pháp phòng thủ chủ động và góp phần vào khả năng phục hồi chung trước mối đe dọa này.

  • LockBit 3.0 là gì ?

LockBit 3.0 đứng đầu trong các mối đe dọa mạng hiện đại. Nó đại diện cho một nhóm ransomware cực kỳ tinh vi đã nổi tiếng nhờ cách tiếp cận chiến lược và phạm vi tiếp cận toàn cầu. Nó đã phát triển thành một thế lực lớn trong bối cảnh mạng, xây dựng dựa trên chiến thuật của những tổ chức tiền nhiệm để trở thành kẻ thống trị trong thế giới tội phạm mạng.

LockBit chiếm 27,93% trong tổng số các cuộc tấn công bằng ransomware đã biết từ tháng 7 năm 2022 đến tháng 6 năm 2023. Con số này nhấn mạnh hiệu suất và hiệu quả vượt trội của nhóm trong việc thực hiện các cuộc tấn công mạng, thể hiện mức độ hoạt động chính xác khiến nhóm này trở nên khác biệt trong lĩnh vực hoạt động mạng độc hại.  

Điều khiến LockBit 3.0 khác biệt so với các đối tác của nó không chỉ đơn thuần là mức độ phổ biến mà còn là sự phát triển về mặt phương pháp của nó. Nhóm liên tục cải tiến các chiến thuật của mình, kết hợp các công nghệ tiên tiến và thích ứng với bối cảnh an ninh mạng luôn thay đổi. Sự nhanh nhẹn này đã cho phép LockBit 3.0 vượt trội hơn các cơ chế phòng thủ truyền thống, đặt ra thách thức dai dẳng cho các tổ chức thuộc mọi quy mô.

Hơn nữa, phạm vi địa lý hoạt động của LockBit 3.0 rất đáng chú ý. Nhóm thể hiện phạm vi tiếp cận toàn cầu thực sự, với các sự cố được báo cáo trải rộng trên nhiều ngành và khu vực khác nhau. Khả năng tác động quốc tế này nhấn mạnh sự cần thiết phải có phản ứng hợp tác và phối hợp toàn cầu để chống lại mối đe dọa nhiều mặt do LockBit 3.0 gây ra.

  • Sự phát triển của LockBit.

Hành trình của LockBit được đánh dấu bằng sự phát triển không ngừng nghỉ, biến nó thành một thế lực mạnh mẽ trong lĩnh vực ransomware. Nguồn gốc của nó có thể bắt nguồn từ tháng 9 năm 2019, khi những dấu hiệu hoạt động đầu tiên dưới biểu ngữ ransomware ABCD, tiền thân của LockBit, được quan sát thấy. Sự bắt đầu này đã đặt nền móng cho những gì sau này trở thành một loạt các mối đe dọa mạng tinh vi và có tác động mạnh mẽ.

Dòng thời gian sau đây dựa trên thông tin được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) thu thập :

Tháng 9 năm 2019 Lần đầu ghi nhận Ransomware với tên ABCD ransomware, tiền thân của LockBit
Tháng 1 năm 2020 Phần mềm ransomware có tên LockBit lần đầu tiên xuất hiện trên các diễn đàn tội phạm mạng bằng tiếng Nga
Tháng 6 năm 2021 Xuất hiện LockBit phiên bản 2 (LockBit 2.0), còn gọi là LockBit Red, bao gồm StealBit, một công cụ đánh cắp thông tin được tích hợp sẵn
Tháng 10 năm 2021 Giới thiệu LockBit Linux-ESXi Locker phiên bản 1.0, mở rộng khả năng nhắm mục tiêu đến các hệ thống sang Linux và VMware ESXi
Tháng 3 năm 2022 Sự xuất hiện của LockBit 3.0, còn được gọi là LockBit Black, có điểm tương đồng với ransomware BlackMatter và Alphv (còn được gọi là BlackCat)
Tháng 9 năm 2022 Các chi nhánh không thuộc LockBit có thể sử dụng LockBit 3.0 sau khi trình tạo của nó bị rò rỉ
Tháng 1 năm 2023 Sự xuất hiện của LockBit Green kết hợp mã nguồn từ Conti ransomware
Tháng 4 năm 2023 Các bộ mã hóa ransomware LockBit nhắm mục tiêu vào macOS được thấy trên VirusTotal

Các phiên bản của LockBit đều nhắm vào các mục tiêu Windows như sau:

  • - LockBit
  • - LockBit 2.0
  • - LockBit 3.0 (LockBit Black)
  • - Từ năm 2023, hai phiên bản mới đã được xác định: 
             -> LockBit Green (Dựa trên ransomware Conti).
             -> LockBit Red (Dựa trên LockBit 2.0).

Các cập nhật đáng chú ý:

  • - LockBit sang LockBit 2.0:
             -> Xoá “Shadow copy” bằng vssadmin
             -> Bỏ qua Kiểm soát Tài khoản Người dùng – Bypass UAC (User Account Control)
             -> In thông báo tống tiền qua máy in
             -> Tự lây nhiễm
  • - LockBit 2.0 sang LockBit 3.0:
             -> Thực hiện logic của phần mềm độc hại BlackMatter Ransomware
             ->
    Xóa bản sao Shadow thông qua Windows Management Instrumentation (WMI)
             -> Bảo vệ bằng mật khẩu
             -> Duy trì thông qua Dịch vụ Hệ thống
             -> Thu thập API
             -> In thông báo chuộc tiền dưới dạng hình nền Desktop

Nhóm ransomware LockBit đã đầu tư mạnh vào việc phát triển công cụ riêng của mình, điều này được thể hiện rõ ràng qua việc thường xuyên cập nhật phiên bản cũng như tạo ra công cụ lấy dữ liệu riêng StealBit.

LockBit cũng mở rộng thị trường bằng cách bổ sung hệ điều hành mục tiêu như LockBit Linux/ESXi nhắm đến máy chạy Linux. Một biến thể MacOS X cũng được phát hành vào tháng 4/2023.

Nhóm này nổi tiếng với chương trình khuyến khích báo lỗi nhằm “nâng cao” hoạt động của nhóm ransomware..

Mỗi giai đoạn phát triển của LockBit đều đưa ra những mức độ phức tạp mới và khả năng nâng cao. Nó nêu bật cam kết của nhóm trong việc đa dạng hóa chiến thuật của mình và nhấn mạnh sự cần thiết của những người bảo vệ phải luôn cảnh giác với câu chuyện liên tục diễn ra về quá trình phát triển của LockBit.

  • Phân tích chiến thuật.

LockBit 3.0, còn được gọi là “LockBit Black”, có tính mô-đun và tính ẩn danh cao hơn các phiên bản trước đó và có những điểm tương đồng với phần mềm tống tiền Blackmatter và Blackcat. LockBit 3.0 được cấu hình khi biên dịch với nhiều tùy chọn khác nhau để xác định hành vi của ransomware. Khi thực thi ransomware thực tế trong môi trường nạn nhân, nhiều đối số khác nhau có thể được đưa ra để sửa đổi thêm hành vi của ransomware. 

Ví dụ: LockBit 3.0 chấp nhận các đối số bổ sung cho các hoạt động cụ thể trong phase Lateral Movement và khởi động lại – Reboot vào Chế độ an toàn – Safe Mode (xem các tham số LockBit Command Line trong Chỉ báo thỏa hiệp – Indicators of Compromise). Nếu đơn vị liên kết của LockBit không có quyền truy cập vào phần mềm ransomware LockBit 3.0 không mật khẩu thì bắt buộc phải có đối số mật khẩu trong quá trình thực thi phần mềm ransomware. Các chi nhánh của LockBit 3.0 không nhập đúng mật khẩu sẽ không thể thực thi ransomware [T1480.001]. Mật khẩu là khóa giải mã tệp thực thi LockBit 3.0. Bảo vệ mã nguồn theo cách này, LockBit 3.0 cản trở phát hiện và phân tích malware khi mã nguồn ở dạng mã hóa và không thể thực thi hay đọc. Phát hiện dựa trên chữ ký có thể không phát hiện được tệp thực thi LockBit 3.0 khi phần mã hóa của nó thay đổi dựa trên khóa mã hóa sử dụng trong khi tạo ra một định danh duy nhất. Khi cung cấp đúng mật khẩu, LockBit 3.0 sẽ giải mã thành phần chính, tiếp tục giải mã hoặc giải nén mã và thực thi ransomware.

LockBit 3.0 chỉ tấn công vào các máy tính không có ngôn ngữ cài đặt khớp với danh sách loại trừ. Tuy nhiên, việc kiểm tra ngôn ngữ hệ thống trong quá trình chạy được quyết định thông qua một cờ cấu hình được thiết lập lúc biên dịch. Các ngôn ngữ được loại trừ bao gồm Romanian (Moldova), Arabic (Syria), và Tatar (Russia), nếu phát hiện một trong số này, LockBit 3.0 sẽ dừng thực thi mà không lây nhiễm vào hệ thống

MITRE ATT&CK TECHNIQUES

1. INITIAL ACCESS

Techniques Title ID Use
Valid Account T1078 Các tác nhân của LockBit 3.0 thu thập và lạm dụng thông tin đăng nhập của các tài khoản đã tồn tại như một cách để đạt được quyền truy cập ban đầu.
Exploit External Remote Services T1133 Các tác nhân của LockBit 3.0 lợi dụng RDP để tiếp cận các mạng của nạn nhân.
Drive-by Compromise T1189 Các tác nhân của LockBit 3.0 lấy được quyền truy cập vào hệ thống thông qua việc người dùng truy cập một trang web trong quá trình duyệt web bình thường.
Exploit Public-Facing Application T1190 Các tác nhân của LockBit 3.0 lợi dụng các lỗ hổng trong các hệ thống đặt trước mặt Internet để đạt được quyền truy cập vào hệ thống của nạn nhân.
Phishing T1566 Các tác nhân của LockBit 3.0 sử dụng các kỹ thuật lừa đảo và lừa đảo cá nhân (spearphishing) để đạt được quyền truy cập vào mạng của nạn nhân.

2. EXECUTION

Techniques Title ID Use
Execution TA0002 LockBit 3.0 thực hiện các lệnh trong quá trình thực thi của nó
Software Deployment Tools T1072 LockBit 3.0 sử dụng Chocolatey, một trình quản lý gói dòng lệnh cho Windows.

3. PERSISTENCE

Techniques Title ID Use
Valid Accounts T1078 LockBit 3.0 sử dụng một tài khoản người dùng bị nhiễm mã độc để duy trì tính liên tục trong mạng mục tiêu
Boot or Logo Autostart Execution T1547 LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền

4. PRIVILEGE ESCALATION

Techniques Title ID Use
Privilege Escalation TA0004 LockBit 3.0 sẽ cố gắng nâng cao đặc quyền cần thiết nếu đặc quyền của tài khoản hiện tại không đủ
Boot or Logo Autostart Execution T1547 LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền

5. DEFENSE EVASION

Techniques Title ID Use
Obfuscated Files or Information T1027 LockBit 3.0 sẽ gửi thông tin máy chủ và bot được mã hóa đến các máy chủ C2 của nó
Indicator Removal: File Deletion T1070.004 LockBit 3.0 sẽ tự xóa khỏi ổ đĩa
Execution Guardrails: Environmental Keying T1480.001 LockBit 3.0 chỉ giải mã thành phần chính hoặc tiếp tục giải mã và/hoặc nén dữ liệu nếu mật khẩu chính xác được nhập

6. CREDENTIAL ACCESS

Techniques Title ID Use
OS Credential Dumping: LSASS Memory

T1003.001

LockBit 3.0 sử dụng Microsoft Sysinternals ProDump để dump nội dung của LSASS.exe

7. DISCOVERY

Techniques Title ID Use
Network Service Discovery T1046 LockBit 3.0 sử dụng SoftPerfect Network Scanner để quét các mạng mục tiêu
System Information Discovery T1082 LockBit 3.0 sẽ liệt kê thông tin hệ thống bao gồm tên máy chủ, cấu hình máy chủ, thông tin miền, cấu hình ổ đĩa cục bộ, các chia sẻ từ xa và các thiết bị lưu trữ ngoại vi đã được gắn kết
System Location Discovery: System Language Discovery

T1614.001

LockBit 3.0 sẽ không lây nhiễm các máy tính có cài đặt ngôn ngữ trùng khớp với danh sách loại trừ được xác định

8. LATERAL MOVEMENT

Techniques Title ID Use
Remote Services: Remote Desktop Protocol

T1021.001

LockBit 3.0 sử dụng phần mềm Splashtop Remote Desktop để tạo điều kiện cho việc di chuyển dọc theo mạng

9. COMMAND & CONTROL

Techniques Title ID Use
Application Layer Protocol: File Transfer Protocols T1071.002 LockBit 3.0 sử dụng FileZilla cho C2 (Command and Control)
Protocol Tunnel  T1572 LockBit 3.0 sử dụng Plink để tự động hóa các hoạt động SSH trên Windows.

10. EXFILTRATION4

Techniques Title ID Use
Exfiltration TA0010 LockBit 3.0 sử dụng Stealbit, một công cụ trộm cắp tùy chỉnh được sử dụng lần đầu tiên cùng với LockBit 2.0, để đánh cắp dữ liệu từ mạng mục tiêu
Exfiltration Over Web Service T1567 LockBit 3.0 sử dụng các dịch vụ chia sẻ tệp có sẵn công khai để trộm cắp dữ liệu của mục tiêu.
Exfiltration Over Web Service: Exfiltration to Cloud Storage

T1567.002

Các tác nhân của LockBit 3.0 sử dụng (1) rclone, một trình quản lý lưu trữ đám mây dòng lệnh mã nguồn mở để trộm cắp và (2) MEGA, một dịch vụ chia sẻ tệp công khai để trộm cắp dữ liệu.

11. IMPACT

Techniques Title ID Use
Data Destruction T1485 LockBit 3.0 xóa các tệp nhật ký và làm trống thùng rác
Data Encrypted for Impact T1486 LockBit 3.0 mã hóa dữ liệu trên các hệ thống mục tiêu để làm gián đoạn sẵn có của tài nguyên hệ thống và mạng.
Service Stop T1489 LockBit 3.0 chấm dứt các tiến trình và dịch vụ
Inhibit System Recovery T1490 LockBit 3.0 xóa shadow copies (volume shadow copies) đang tồn tại trên đĩa
Defacement: Internal Defacement T1491.001 LockBit 3.0 thay đổi hình nền và biểu tượng của hệ thống máy chủ thành hình nền và biểu tượng của LockBit 3.0 tương ứng

 

12. Tools

Tool Description MITRE ATT&CK
Chocolatey Trình quản lý gói dòng lệnh cho hệ điều hành Windows T1072
FileZilla Ứng dụng FTP đa nền tảng T1071.002
Impacket Bộ sưu tập các lớp Python để làm việc với các giao thức mạng S0357
MEGA Ltd MegaSync Công cụ đồng bộ hóa dựa trên đám mây T1567.002
Microsoft Sysinternals ProcDump Tạo các bản ghi crash. Thường được sử dụng để dump nội dung của Local Security Authority Subsystem Service, hay LSASS.exe T1003.001
Microsoft Sysinternals PsExec Thực thi một quy trình dòng lệnh trên một máy tính từ xa. S0029
Mimikatz Trích xuất thông tin đăng nhập từ hệ thống S0002
Ngrok Một công cụ truy cập từ xa hợp pháp bị lạm dụng để phá vỡ các biện pháp bảo vệ của mạng nạn nhân S0508
PuTTY Link (Plink) Có thể được sử dụng để tự động hóa các hành động Secure Shell (SSH) trên Windows T1572
Rclone Chương trình dòng lệnh để quản lý các tệp lưu trữ đám mây S1040
SoftPerfect Network Scanner Thực hiện quét mạng T1046
Splashtop Phần mềm điều khiển từ xa T1021.001
WinSCP Một trình SSH File Transfer Protocol dành cho Windows T1048

Nguồn tham khảo : CISA CyberReason

: Ransomware LockBit – Lockbit 3.0: Mối nguy hại nghiêm trọng nhất

Đăng ký nhận tin

Nhận thông tin sản phẩm mới nhất, tin khuyến mãi và nhiều hơn nữa.