Ransomware Lockbit: Software malicioso é o mais rápido e preocupa especialistas

O ransomware LockBit é uma das ameaças mais recentes, foi visto em 2021 e voltou com tudo novamente no primeiro semestre deste ano assombrando organizações por todo o mundo, principalmente no Brasil.

Com velocidades 86% mais rápidas do que os ransomwares medianos, esse tipo de ataque já atingiu grandes empresas do setor de tecnologia, e reafirma cada vez mais que não importa o tamanho da organização para que ela possa se tornar mais uma vítima.

Em sua versão recente, o LockBit 2.0 possui uma série de novos recursos, incluindo um refinamento potencialmente perigoso, que visa criptografar domínios inteiros do Windows por meio de políticas de grupo.

Ao causar a interrupção das atividades, o ataque LockBit pode gerar graves danos para as organizações. Em um dos ataques registrados no Brasil, em agosto de 2021, os prejuízos foram calculados em mais de R$ 200 milhões para o pagamento de resgate de arquivos, além dos novos investimentos para controle de perdas e esforços de segurança, de acordo com o monitoramento da ISH Tecnologia.

Para que a sua empresa não seja a próxima, abaixo, contamos o que você precisa saber para proteger seus sistemas e não se tornar mais uma vítima do LockBit. Acompanhe!

O que é o ransomware LockBit?

LockBit é uma gangue de cibercriminosos que opera usando um modelo de ransomware como serviço (RaaS) — semelhante ao DarkSide e REvil.

A LockBit oferece sua plataforma de ransomware para outras entidades ou indivíduos usarem com base em um modelo de afiliado.

Quaisquer pagamentos de resgate recebidos pelo uso do LockBit são divididos entre o cliente que dirige o ataque e a gangue do LockBit.

Acredita-se que o LockBit esteja relacionado às famílias de malware LockerGoga e MegaCortex. Ele compartilha táticas, técnicas e procedimentos (TTPs) comuns com esses ataques maliciosos, particularmente a capacidade de se propagar automaticamente para novos alvos, sendo usado em ataques direcionados em vez de apenas enviar spam ou atacar organizações indiscriminadamente, e as ferramentas subjacentes nas quais se baseia, como Windows PowerShell e Server Message Block (SMB).

Quando um único host é comprometido, o LockBit pode escanear a rede para localizar e infectar outros dispositivos acessíveis. Ele usa ferramentas e protocolos nativos dos sistemas Windows, tornando mais difícil para as ferramentas de segurança de endpoint detectar ou identificar a atividade como maliciosa.

O software malicioso foi projetado para encriptar dados. Os criminosos cibernéticos por trás da infecção exigem pagamento (resgate) por ferramentas/software de desencriptação. Durante o processo de encriptação, o LockBit retitula ficheiros com a extensão “.abcd“. Após esse processo, um ficheiro de texto – “Restore-My-Files.txt” é descartado em todas as pastas afetadas.

Todo ransomware encripta dados e exige pagamento por desencriptação. As diferenças cruciais entre cada um são o algoritmo criptográfico usado (simétrico ou assimétrico) e o tamanho do resgate. Estes últimos geralmente variam entre somas de três e quatro dígitos (em dólares americanos). As moedas digitais (principalmente as criptomoedas) são preferidas pelos criminosos cibernéticos, pois as suas transações são difíceis/impossíveis de rastrear.

O ransomware LockBit continua a se adaptar e evoluir. Variantes mais recentes adotaram o modelo de extorsão dupla – localizando e exfiltrando dados valiosos antes de criptografar os sistemas.

Os dados roubados fornecem incentivo adicional para as vítimas pagarem o resgate. Mesmo que eles possam restaurar dados de backups, recusar-se a pagar o resgate pode resultar em dados confidenciais divulgados publicamente ou vendidos a concorrentes.

Saiba como se proteger

Não há uma boa opção para uma organização quando um ataque de ransomware compromete sistemas e dados criptografados. Isso é especialmente verdadeiro no caso de um duplo ataque de extorsão.

Recusar-se a pagar o resgate significa passar por um processo doloroso de restaurar dados de backups e tentar recuperar o controle e a funcionalidade de seus sistemas, ao mesmo tempo em que aceita que seus dados provavelmente serão expostos.

Pagar o resgate pode permitir que a vítima volte a realizar as suas operações rapidamente e evitar a publicação ou venda de dados, mas, em contrapartida, pesquisas mostram que 80% das empresas que pagam um resgate acabam sendo atacadas novamente.

Em primeiro lugar, é importante ter uma proteção eficaz para evitar o ataque de ransomware. As organizações precisam ter uma visão do ataque e a capacidade de visualizar toda a operação maliciosa. Reconhecer indicadores de comportamento permite que a empresa detecte e bloqueie ataques de ransomware e proteja-se contra ameaças como o LockBit.

Para fazer isso, elas precisam investir em uma solução anti-ransomware que não dependa apenas de Indicadores de Comprometimento (IOCs), pois nem toda cadeia de ataque de ransomware é conhecida pela comunidade de segurança. 

É necessária uma plataforma de várias camadas que use Indicadores de Comportamento (IOBs) para que as equipes de segurança possam detectar e encerrar uma cadeia de ataque de ransomware, independentemente de alguém já ter visto isso antes. Sendo assim, procure uma solução que ofereça os seguintes recursos:

  • Prevenção e fraude anti-ransomware: a solução deve usar uma combinação de detecções comportamentais e técnicas proprietárias de fraude que expõem as ameaças de ransomware mais complexas e encerram o ataque antes que qualquer dado crítico possa ser criptografado;

  • Antivírus baseado em inteligência artificial: ela também deve bloquear variantes de ransomware conhecidas, aproveitando um conjunto cada vez maior de inteligência de ameaças com base em ataques detectados anteriormente;

  • Next-Generation Antivírus: uma solução de próxima geração (NGAV) é alimentada por aprendizado de máquina e reconhece componentes maliciosos no código para bloquear variantes de ransomware desconhecidas antes da execução;

  • Proteção contra ransomware sem arquivo: isso permite que a solução interrompa ataques utilizando ransomware sem o arquivo que as ferramentas de antivírus tradicionais perdem;

  • Controles de endpoints: por último, a solução deve proteger os endpoints contra ataques, gerenciando políticas de segurança, mantendo controles de dispositivos, implementando firewalls pessoais e aplicando criptografia de disco inteiro em uma variedade de tipos de dispositivos.

Além da tecnologia, o treinamento das pessoas dentro da empresa é essencial. Como outras formas de ransomware, o LockBit depende de pessoas que não reconhecem as ameaças quando elas chegam.

Garantir que suas equipes recebam treinamento regular e atualizado sobre os tipos de ameaças que podem surgir é uma medida defensiva substancial contra o ransomware LockBit.

O LockBit é uma ameaça maliciosa e generalizada, e as organizações precisam estar cientes de como ele difere de outras formas de ransomware. Mas os princípios das melhores práticas de segurança cibernética permanecem os mesmos, incluindo o treinamento interno e o uso de uma plataforma com os recursos mais recentes para frear a ameaça.

Gostou de conhecer mais sobre o ransomware LockBit?

Acompanhe a nossa página no Twitter e fique por dentro de todas as novidades publicadas semanalmente por nosso time de inteligência  em segurança cibernética.

Fique à vontade também para entrar em contato com nosso time de especialistas e saber mais sobre como proteger os dados da sua organização.