FBI minulý týden zveřejnila bleskové upozornění, které obsahuje technické podrobnosti a indikátory útoku LockBit 2.0, a seznam doporučení, která mají organizacím pomoci s ochranou.
FBI také požádala oběti kybernetických útoků, aby incidenty co nejrychleji nahlásily příslušnému místnímu kybernetickému oddělení FBI, a pomohly tak vystopovat útočníky a zabránit budoucím útokům.
Bleskové upozornění popisuje techniky, taktiky a postupy použité pachateli útoku LockBit 2.0, technické podrobnosti o kmeni ransomwaru, indikátory kompromitace (IOC), a také doporučená opatření ke snížení případných škod.
Ransomware LockBit 2.0 proniká do sítí pomocí technik, jako je využívání neopravených zranitelností, zakoupeného přístupu, zero-day exploitů a zapojení interních osob. Jakmile se útočníci dostanou do sítě, zvyšují svá oprávnění prostřednictvím veřejně dostupných nástrojů, jako je například Mimikatz.
Poté použijí smíšenou sadu veřejných a vlastních nástrojů k vynesení získaných dat, která nakonec zašifrují malwarem LockBit a zanechají na napadeném zařízení spolu s požadavkem na výkupné.
Aktivita ransomwarového gangu LockBit prudce vzrostla od okamžiku jeho spuštění ransomwaru jako služby (Raas) v září 2019, kdy tuto operaci intenzivně propagoval, verboval členy pro napadání sítí, a poskytoval podporu svým klientům na ruských hackerských fórech.
LockBit 2.0 se dočkal nového designu webových stránek a také vylepšených a pokročilých funkcí v rámci produktu, včetně možnosti automatického šifrování zařízení v doménách systému Windows s využitím zásad skupin Active Directory.
Bleskové upozornění FBI zahrnuje řadu doporučení, která mají správcům sítí pomoci odrazit útoky ransomwaru LockBit 2.0. Jmenovitě:
Zavedení nových zásad pro používání hesel s cílem vynutit používání silných a jedinečných hesel pro všechny účty.
Zavedení povinného vícefaktorového ověřování (MFA) pro všechny služby.
Omezení přístupu ke správcovským položkám (zejména ADMIN$ a C$).
Povolení chráněných souborů (OS Windows) pro omezení neoprávněných úprav důležitých souborů.
Použití hostitelské brány firewall k povolení připojení výhradně z omezené sady správcovských zařízení, prostřednictvím serverového bloku zpráv (SMB).
Segmentace sítě pro omezení šíření ransomwaru
Použití nástroje pro detekci koncových bodů a reakci na ně (EDR) k identifikaci, detekci a šetření abnormální aktivity v síti.
Udržujte offline zálohy dat a provádějte pravidelnou údržbu záloh.
Zašifrujte všechna záložní data a zajistěte, aby byla neměnná (nezměnitelná, neodstranitelná).
Omezení nebo zakázání skriptování a aktivity na příkazovém řádku.
Zavedení časově omezeného přístupu pro účty správce (a vyšší)