ФБР: остерегайтесь программ-вымогателей LockBit 2.0, вот как снизить риск для вашей сети
Включите многофакторную аутентификацию и используйте надежные пароли, предупреждает ФБР.
Федеральное бюро расследований (ФБР) опубликовало свежее предупреждение о LockBit 2.0. рекомендуя компаниям включить многофакторную аутентификацию (MFA) и использовать надежные, уникальные пароли для всех учетных записей администратора и ценных учетных записей, чтобы предотвратить распространение программ-вымогателей, которые сегодня используются одной из самых активных групп атак в Интернете.
MFA жизненно важен для защиты от взлома паролей пользователей и администраторов, но Microsoft обнаружила, что 78% организаций, использующих Azure Active Directory, не включают MFA.
LockBit 2.0 нацелен на ПК с Windows, а теперь и на серверы Linux из-за ошибок в виртуальных машинах VMWare ESXi, а также поразил гиганта технического консалтинга и услуг Accenture и Министерство юстиции Франции.
СМОТРИТЕ: Кибербезопасность: давайте действовать тактически (специальный отчет ZDNet)
Операторы LockBit используют любой доступный метод для взлома сети, если он работает. К ним относятся, помимо прочего, покупка доступа к уже скомпрометированной сети у «брокеров доступа», использование неисправленных ошибок программного обеспечения и даже оплата инсайдерского доступа, а также использование эксплойтов для ранее неизвестных уязвимостей нулевого дня, согласно данным Отчет ФБР.
Техники группы продолжают развиваться. ФБР сообщает, что операторы LockBit начали рекламировать инсайдеров целевой компании, чтобы помочь им установить первоначальный доступ к сети. Инсайдерам пообещали часть доходов от успешной атаки. Месяцем ранее он начал автоматически шифровать устройства в доменах Windows, злоупотребляя групповыми политиками в Active Directory.
После компрометации сети LockBit использует инструменты тестирования на проникновение, такие как Mimikatz, для повышения привилегий и использования нескольких инструментов для кражи данных (чтобы угрожать жертвам утечкой, если они не заплатят) перед шифрованием файлов. LockBit всегда оставляет записку о выкупе с инструкциями о том, как получить ключ дешифрования.
Как и другие операции с программами-вымогателями в России, LockBit 2.0 определяет настройки языка системы и пользователя и исключает организацию из атаки, если языки являются одним из 13 восточноевропейских языков. ФБР перечисляет языковые коды LockBit 2.0 по состоянию на февраль 2022 года — например, 2092 для азербайджанского/кириллицы и 1067 для армянского — из-за которых он не активируется.
«Если обнаруживается восточноевропейский язык, программа завершает работу без заражения», — отмечают в ФБР.
Lockbit 2.0 идентифицирует и собирает имя хоста зараженного устройства, конфигурацию хоста, информацию о домене, конфигурацию локального диска, удаленные общие ресурсы и подключенные внешние устройства хранения данных.
Затем, по данным ФБР, он пытается зашифровать данные, сохраненные на любом локальном или удаленном устройстве, но пропускает файлы, связанные с основными функциями системы. После этого он удаляет себя с диска и создает постоянство при запуске.
Помимо требования надежных, уникальных паролей и MFA для веб-почты, VPN и учетных записей для критически важных систем, ФБР также рекомендует ряд мер по смягчению последствий, включая обновление операционных систем и программного обеспечения и удаление ненужного доступа к административным общим ресурсам. Он также рекомендует использовать брандмауэр на базе хоста и включать «защищенные файлы» в Windows, имея в виду контролируемый Microsoft доступ к папкам.
Он также рекомендует компаниям сегментировать свои сети, расследовать любую аномальную активность, реализовать доступ по времени для учетных записей, установленных на уровне администратора и выше, отключить действия и разрешения командной строки и сценариев и, конечно же, поддерживать автономное резервное копирование данных.