Khi nói đến các mối đe dọa an ninh mạng mới nhất và lớn nhất, có một cái tên nổi bật: LockBit 3.0. Vào năm 2022 , LockBit là nhóm ransomware và nhà cung cấp Ransomware-as-a-Service (RaaS) toàn cầu hoạt động tích cực nhất xét về số lượng nạn nhân được xác nhận trên trang web rò rỉ dữ liệu của họ.
Mối đe dọa này đánh dấu một bước tiến đáng kể trong lĩnh vực ransomware, đặc trưng bởi các chiến thuật tinh vi và khả năng toàn diện của nó. LockBit 3.0 không chỉ thể hiện khả năng vượt trội trong việc thích ứng với các biện pháp phòng vệ an ninh mạng đang phát triển mà còn thể hiện mức độ tổ chức và phối hợp cao hơn. Nhóm này sử dụng các thuật toán mã hóa tiên tiến và tận dụng các kỹ thuật kỹ thuật xã hội phức tạp, khiến cho các cuộc tấn công của chúng trở nên đặc biệt khó ngăn chặn.
Trong bài phân tích này, chúng tôi đi sâu vào các đặc điểm và chiến lược chính được LockBit 3.0 sử dụng, trang bị kiến thức cho những người bảo vệ để đối mặt với mối đe dọa mạnh mẽ và luôn thay đổi này. Bằng cách hiểu rõ các sắc thái trong chiến thuật của LockBit 3.0, những người bảo vệ có thể nâng cao khả năng sẵn sàng, phát triển các biện pháp phòng thủ chủ động và góp phần vào khả năng phục hồi chung trước mối đe dọa này.
- LockBit 3.0 là gì ?
LockBit 3.0 đứng đầu trong các mối đe dọa mạng hiện đại. Nó đại diện cho một nhóm ransomware cực kỳ tinh vi đã nổi tiếng nhờ cách tiếp cận chiến lược và phạm vi tiếp cận toàn cầu. Nó đã phát triển thành một thế lực lớn trong bối cảnh mạng, xây dựng dựa trên chiến thuật của những tổ chức tiền nhiệm để trở thành kẻ thống trị trong thế giới tội phạm mạng.
LockBit chiếm 27,93% trong tổng số các cuộc tấn công bằng ransomware đã biết từ tháng 7 năm 2022 đến tháng 6 năm 2023. Con số này nhấn mạnh hiệu suất và hiệu quả vượt trội của nhóm trong việc thực hiện các cuộc tấn công mạng, thể hiện mức độ hoạt động chính xác khiến nhóm này trở nên khác biệt trong lĩnh vực hoạt động mạng độc hại.
Điều khiến LockBit 3.0 khác biệt so với các đối tác của nó không chỉ đơn thuần là mức độ phổ biến mà còn là sự phát triển về mặt phương pháp của nó. Nhóm liên tục cải tiến các chiến thuật của mình, kết hợp các công nghệ tiên tiến và thích ứng với bối cảnh an ninh mạng luôn thay đổi. Sự nhanh nhẹn này đã cho phép LockBit 3.0 vượt trội hơn các cơ chế phòng thủ truyền thống, đặt ra thách thức dai dẳng cho các tổ chức thuộc mọi quy mô.
Hơn nữa, phạm vi địa lý hoạt động của LockBit 3.0 rất đáng chú ý. Nhóm thể hiện phạm vi tiếp cận toàn cầu thực sự, với các sự cố được báo cáo trải rộng trên nhiều ngành và khu vực khác nhau. Khả năng tác động quốc tế này nhấn mạnh sự cần thiết phải có phản ứng hợp tác và phối hợp toàn cầu để chống lại mối đe dọa nhiều mặt do LockBit 3.0 gây ra.
- Sự phát triển của LockBit.
Hành trình của LockBit được đánh dấu bằng sự phát triển không ngừng nghỉ, biến nó thành một thế lực mạnh mẽ trong lĩnh vực ransomware. Nguồn gốc của nó có thể bắt nguồn từ tháng 9 năm 2019, khi những dấu hiệu hoạt động đầu tiên dưới biểu ngữ ransomware ABCD, tiền thân của LockBit, được quan sát thấy. Sự bắt đầu này đã đặt nền móng cho những gì sau này trở thành một loạt các mối đe dọa mạng tinh vi và có tác động mạnh mẽ.
Dòng thời gian sau đây dựa trên thông tin được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) thu thập :
Tháng 9 năm 2019 | Lần đầu ghi nhận Ransomware với tên ABCD ransomware, tiền thân của LockBit |
Tháng 1 năm 2020 | Phần mềm ransomware có tên LockBit lần đầu tiên xuất hiện trên các diễn đàn tội phạm mạng bằng tiếng Nga |
Tháng 6 năm 2021 | Xuất hiện LockBit phiên bản 2 (LockBit 2.0), còn gọi là LockBit Red, bao gồm StealBit, một công cụ đánh cắp thông tin được tích hợp sẵn |
Tháng 10 năm 2021 | Giới thiệu LockBit Linux-ESXi Locker phiên bản 1.0, mở rộng khả năng nhắm mục tiêu đến các hệ thống sang Linux và VMware ESXi |
Tháng 3 năm 2022 | Sự xuất hiện của LockBit 3.0, còn được gọi là LockBit Black, có điểm tương đồng với ransomware BlackMatter và Alphv (còn được gọi là BlackCat) |
Tháng 9 năm 2022 | Các chi nhánh không thuộc LockBit có thể sử dụng LockBit 3.0 sau khi trình tạo của nó bị rò rỉ |
Tháng 1 năm 2023 | Sự xuất hiện của LockBit Green kết hợp mã nguồn từ Conti ransomware |
Tháng 4 năm 2023 | Các bộ mã hóa ransomware LockBit nhắm mục tiêu vào macOS được thấy trên VirusTotal |
Các phiên bản của LockBit đều nhắm vào các mục tiêu Windows như sau:
- LockBit
- LockBit 2.0
- LockBit 3.0 (LockBit Black)
- Từ năm 2023, hai phiên bản mới đã được xác định:
- LockBit Green (Dựa trên ransomware Conti).
- LockBit Red (Dựa trên LockBit 2.0).
Các cập nhật đáng chú ý:
- LockBit sang LockBit 2.0:
- Xoá “Shadow copy” bằng vssadmin
- Bỏ qua Kiểm soát Tài khoản Người dùng – Bypass UAC (User Account Control)
- In thông báo tống tiền qua máy in
- Tự lây nhiễm
- LockBit 2.0 sang LockBit 3.0:
- Thực hiện logic của phần mềm độc hại BlackMatter Ransomware
- Xóa bản sao Shadow thông qua Windows Management Instrumentation (WMI)
- Bảo vệ bằng mật khẩu
- Duy trì thông qua Dịch vụ Hệ thống
- Thu thập API
- In thông báo chuộc tiền dưới dạng hình nền Desktop
- Thực hiện logic của phần mềm độc hại BlackMatter Ransomware
Nhóm ransomware LockBit đã đầu tư mạnh vào việc phát triển công cụ riêng của mình, điều này được thể hiện rõ ràng qua việc thường xuyên cập nhật phiên bản cũng như tạo ra công cụ lấy dữ liệu riêng StealBit.
LockBit cũng mở rộng thị trường bằng cách bổ sung hệ điều hành mục tiêu như LockBit Linux/ESXi nhắm đến máy chạy Linux. Một biến thể MacOS X cũng được phát hành vào tháng 4/2023.
Nhóm này nổi tiếng với chương trình khuyến khích báo lỗi nhằm “nâng cao” hoạt động của nhóm ransomware..
Mỗi giai đoạn phát triển của LockBit đều đưa ra những mức độ phức tạp mới và khả năng nâng cao. Nó nêu bật cam kết của nhóm trong việc đa dạng hóa chiến thuật của mình và nhấn mạnh sự cần thiết của những người bảo vệ phải luôn cảnh giác với câu chuyện liên tục diễn ra về quá trình phát triển của LockBit.
- Phân tích chiến thuật.
LockBit 3.0, còn được gọi là “LockBit Black”, có tính mô-đun và tính ẩn danh cao hơn các phiên bản trước đó và có những điểm tương đồng với phần mềm tống tiền Blackmatter và Blackcat. LockBit 3.0 được cấu hình khi biên dịch với nhiều tùy chọn khác nhau để xác định hành vi của ransomware. Khi thực thi ransomware thực tế trong môi trường nạn nhân, nhiều đối số khác nhau có thể được đưa ra để sửa đổi thêm hành vi của ransomware.
Ví dụ: LockBit 3.0 chấp nhận các đối số bổ sung cho các hoạt động cụ thể trong phase Lateral Movement và khởi động lại – Reboot vào Chế độ an toàn – Safe Mode (xem các tham số LockBit Command Line trong Chỉ báo thỏa hiệp – Indicators of Compromise). Nếu đơn vị liên kết của LockBit không có quyền truy cập vào phần mềm ransomware LockBit 3.0 không mật khẩu thì bắt buộc phải có đối số mật khẩu trong quá trình thực thi phần mềm ransomware. Các chi nhánh của LockBit 3.0 không nhập đúng mật khẩu sẽ không thể thực thi ransomware [T1480.001]. Mật khẩu là khóa giải mã tệp thực thi LockBit 3.0. Bảo vệ mã nguồn theo cách này, LockBit 3.0 cản trở phát hiện và phân tích malware khi mã nguồn ở dạng mã hóa và không thể thực thi hay đọc. Phát hiện dựa trên chữ ký có thể không phát hiện được tệp thực thi LockBit 3.0 khi phần mã hóa của nó thay đổi dựa trên khóa mã hóa sử dụng trong khi tạo ra một định danh duy nhất. Khi cung cấp đúng mật khẩu, LockBit 3.0 sẽ giải mã thành phần chính, tiếp tục giải mã hoặc giải nén mã và thực thi ransomware.
LockBit 3.0 chỉ tấn công vào các máy tính không có ngôn ngữ cài đặt khớp với danh sách loại trừ. Tuy nhiên, việc kiểm tra ngôn ngữ hệ thống trong quá trình chạy được quyết định thông qua một cờ cấu hình được thiết lập lúc biên dịch. Các ngôn ngữ được loại trừ bao gồm Romanian (Moldova), Arabic (Syria), và Tatar (Russia), nếu phát hiện một trong số này, LockBit 3.0 sẽ dừng thực thi mà không lây nhiễm vào hệ thống
MITRE ATT&CK TECHNIQUES
1. INITIAL ACCESS
Techniques Title | ID | Use |
Valid Account | T1078 | Các tác nhân của LockBit 3.0 thu thập và lạm dụng thông tin đăng nhập của các tài khoản đã tồn tại như một cách để đạt được quyền truy cập ban đầu. |
Exploit External Remote Services | T1133 | Các tác nhân của LockBit 3.0 lợi dụng RDP để tiếp cận các mạng của nạn nhân. |
Drive-by Compromise | T1189 | Các tác nhân của LockBit 3.0 lấy được quyền truy cập vào hệ thống thông qua việc người dùng truy cập một trang web trong quá trình duyệt web bình thường. |
Exploit Public-Facing Application | T1190 | Các tác nhân của LockBit 3.0 lợi dụng các lỗ hổng trong các hệ thống đặt trước mặt Internet để đạt được quyền truy cập vào hệ thống của nạn nhân. |
Phishing | T1566 | Các tác nhân của LockBit 3.0 sử dụng các kỹ thuật lừa đảo và lừa đảo cá nhân (spearphishing) để đạt được quyền truy cập vào mạng của nạn nhân. |
2. EXECUTION
Techniques Title | ID | Use |
Execution | TA0002 | LockBit 3.0 thực hiện các lệnh trong quá trình thực thi của nó |
Software Deployment Tools | T1072 | LockBit 3.0 sử dụng Chocolatey, một trình quản lý gói dòng lệnh cho Windows. |
3. PERSISTENCE
Techniques Title | ID | Use |
Valid Accounts | T1078 | LockBit 3.0 sử dụng một tài khoản người dùng bị nhiễm mã độc để duy trì tính liên tục trong mạng mục tiêu |
Boot or Logo Autostart Execution | T1547 | LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền |
4. PRIVILEGE ESCALATION
Techniques Title | ID | Use |
Privilege Escalation | TA0004 | LockBit 3.0 sẽ cố gắng nâng cao đặc quyền cần thiết nếu đặc quyền của tài khoản hiện tại không đủ |
Boot or Logo Autostart Execution | T1547 | LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền |
5. DEFENSE EVASION
Techniques Title | ID | Use |
Obfuscated Files or Information | T1027 | LockBit 3.0 sẽ gửi thông tin máy chủ và bot được mã hóa đến các máy chủ C2 của nó |
Indicator Removal: File Deletion | T1070.004 | LockBit 3.0 sẽ tự xóa khỏi ổ đĩa |
Execution Guardrails: Environmental Keying | T1480.001 | LockBit 3.0 chỉ giải mã thành phần chính hoặc tiếp tục giải mã và/hoặc nén dữ liệu nếu mật khẩu chính xác được nhập |
6. CREDENTIAL ACCESS
Techniques Title | ID | Use |
OS Credential Dumping: LSASS Memory | LockBit 3.0 sử dụng Microsoft Sysinternals ProDump để dump nội dung của LSASS.exe |
7. DISCOVERY
Techniques Title | ID | Use |
Network Service Discovery | T1046 | LockBit 3.0 sử dụng SoftPerfect Network Scanner để quét các mạng mục tiêu |
System Information Discovery | T1082 | LockBit 3.0 sẽ liệt kê thông tin hệ thống bao gồm tên máy chủ, cấu hình máy chủ, thông tin miền, cấu hình ổ đĩa cục bộ, các chia sẻ từ xa và các thiết bị lưu trữ ngoại vi đã được gắn kết |
System Location Discovery: System Language Discovery | LockBit 3.0 sẽ không lây nhiễm các máy tính có cài đặt ngôn ngữ trùng khớp với danh sách loại trừ được xác định |
8. LATERAL MOVEMENT
Techniques Title | ID | Use |
Remote Services: Remote Desktop Protocol | LockBit 3.0 sử dụng phần mềm Splashtop Remote Desktop để tạo điều kiện cho việc di chuyển dọc theo mạng |
9. COMMAND & CONTROL
Techniques Title | ID | Use |
Application Layer Protocol: File Transfer Protocols | T1071.002 | LockBit 3.0 sử dụng FileZilla cho C2 (Command and Control) |
Protocol Tunnel | T1572 | LockBit 3.0 sử dụng Plink để tự động hóa các hoạt động SSH trên Windows. |
10. EXFILTRATION
Techniques Title | ID | Use |
Exfiltration | TA0010 | LockBit 3.0 sử dụng Stealbit, một công cụ trộm cắp tùy chỉnh được sử dụng lần đầu tiên cùng với LockBit 2.0, để đánh cắp dữ liệu từ mạng mục tiêu |
Exfiltration Over Web Service | T1567 | LockBit 3.0 sử dụng các dịch vụ chia sẻ tệp có sẵn công khai để trộm cắp dữ liệu của mục tiêu. |
Exfiltration Over Web Service: Exfiltration to Cloud Storage | Các tác nhân của LockBit 3.0 sử dụng (1) rclone, một trình quản lý lưu trữ đám mây dòng lệnh mã nguồn mở để trộm cắp và (2) MEGA, một dịch vụ chia sẻ tệp công khai để trộm cắp dữ liệu. |
11. IMPACT
Techniques Title | ID | Use |
Data Destruction | T1485 | LockBit 3.0 xóa các tệp nhật ký và làm trống thùng rác |
Data Encrypted for Impact | T1486 | LockBit 3.0 mã hóa dữ liệu trên các hệ thống mục tiêu để làm gián đoạn sẵn có của tài nguyên hệ thống và mạng. |
Service Stop | T1489 | LockBit 3.0 chấm dứt các tiến trình và dịch vụ |
Inhibit System Recovery | T1490 | LockBit 3.0 xóa shadow copies (volume shadow copies) đang tồn tại trên đĩa |
Defacement: Internal Defacement | T1491.001 | LockBit 3.0 thay đổi hình nền và biểu tượng của hệ thống máy chủ thành hình nền và biểu tượng của LockBit 3.0 tương ứng |
12. Tools
Tool | Description | MITRE ATT&CK |
Chocolatey | Trình quản lý gói dòng lệnh cho hệ điều hành Windows | T1072 |
FileZilla | Ứng dụng FTP đa nền tảng | T1071.002 |
Impacket | Bộ sưu tập các lớp Python để làm việc với các giao thức mạng | S0357 |
MEGA Ltd MegaSync | Công cụ đồng bộ hóa dựa trên đám mây | T1567.002 |
Microsoft Sysinternals ProcDump | Tạo các bản ghi crash. Thường được sử dụng để dump nội dung của Local Security Authority Subsystem Service, hay LSASS.exe | T1003.001 |
Microsoft Sysinternals PsExec | Thực thi một quy trình dòng lệnh trên một máy tính từ xa. | S0029 |
Mimikatz | Trích xuất thông tin đăng nhập từ hệ thống | S0002 |
Ngrok | Một công cụ truy cập từ xa hợp pháp bị lạm dụng để phá vỡ các biện pháp bảo vệ của mạng nạn nhân | S0508 |
PuTTY Link (Plink) | Có thể được sử dụng để tự động hóa các hành động Secure Shell (SSH) trên Windows | T1572 |
Rclone | Chương trình dòng lệnh để quản lý các tệp lưu trữ đám mây | S1040 |
SoftPerfect Network Scanner | Thực hiện quét mạng | T1046 |
Splashtop | Phần mềm điều khiển từ xa | T1021.001 |
WinSCP | Một trình SSH File Transfer Protocol dành cho Windows | T1048 |
Nguồn tham khảo : CISA & CyberReason