Ransomware LockBit amplia seu alcance visando Macs e outros dispositivos

Segundo monitoramento da Kaspersky, o LockBit – grupo de ransomware com maior atuação ao redor do mundo – aprimorou sua operação com funcionalidades multiplataforma – mais especificamente para sequestrar arquivos em computadores com o sistema macOS. O LockBit ganhou projeção por seus ataques incansáveis a empresas do mundo inteiro, inclusive no Brasil. Recentemente a CISA, órgão do governo americano, anunciou que o grupo obteve lucros de 91 milhões de dólares, pagos por empresas vítimas de ataques nos EUA. A informação reforça uma das conclusões do relatório da Kaspersky que destaca a determinação do grupo de ampliar seu alcance e maximizar o impacto às suas vítimas.

Em suas primeiras fases, o LockBit operou sem divulgar seus ataques em um portal, táticas de dupla extorsão ou de exfiltração de Dados antes de criptografar as informações e sistemas das vítimas. No entanto, o grupo desenvolve continuamente sua infraestrutura e medidas de segurança para proteger seus ativos de diversas ameaças, incluindo ataques sobre seus sistemas de afiliados e ataques de negação de serviço distribuídos (DDoS).

A comunidade de cibersegurança observou que o LockBit está adotando o código de outros grupos de ransomware, como o BlackMatter e DarkSide. Além de simplificar as operações para possíveis afiliados, esse movimento estratégico também amplia as possibilidade de iniciar uma infecção pelo LockBit. Descobertas recentes do Kaspersky Threat Attribution Engine (KTAE) mostra que o LockBit incorporou aproximadamente 25% do código antes usado pelo agora inativo ransomware Conti, resultando em uma nova variação conhecida como LockBit Green.

Em um passo significativo, os pesquisadores da Kaspersky descobriram um arquivo ZIP contendo amostras do LockBit adaptadas especificamente para diversas arquiteturas, incluindo Apple M1, ARM v6, ARM v7, FreeBSD e outras. Com uma análise e investigação completa usando o KTAE, foi confirmado que essas amostras tiveram origem na versão Linux/ESXi do LockBit observada anteriormente.

Embora algumas amostras, como a variação para macOS, exijam configuração adicional e não sejam assinadas adequadamente, é evidente que o LockBit está testando seu ransomware ativamente em várias plataformas, o que indica uma expansão iminente dos ataques. Essa evolução enfatiza a necessidade urgente de medidas robustas de cibersegurança em todas as plataformas e conscientização intensa na comunidade corporativa.

“O LockBit é um grupo de ransomware extremamente ativo, conhecido por seus ataques cibernéticos devastadores sobre empresas do mundo inteiro. Com os aprimoramentos contínuos da infraestrutura e a incorporação de código de outras gangues de ransomware, o LockBit representa uma ameaça substancial e em evolução para organizações de diversos setores. É fundamental que as empresas reforcem suas defesas, atualizem seus sistemas de segurança regularmente, instruam os funcionários sobre as práticas recomendadas de cibersegurança e estabeleçam protocolos de resposta a incidentes para atenuar de modo efetivo os riscos apresentados pelo LockBit e grupos de ransomware semelhantes”, comenta Marc Rivero, pesquisador sênior em segurança da Equipe de Pesquisa e Análise Global da Kaspersky.

Para se proteger e à sua empresa de ataques de ransomware, considere seguir as práticas propostas pela Kaspersky:
Sempre mantenha o software atualizado em todos os dispositivos que você usa para evitar que atacantes explorem vulnerabilidades e se infiltrem em sua rede.

Concentre sua estratégia de defesa na detecção de movimentação lateral e em vazamentos de Dados para a Internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos com a sua rede. Configure backups off-line que invasores não serão capazes de adulterar. Garanta que você possa acessá-los rapidamente quando necessário ou em caso de emergência.

Ative a proteção contra ransomware em todos os Endpoints.

Instale soluções anti-APTs e de EDR, ativando as funcionalidades de descoberta e detecção de ameaças avançadas, investigação e rápida neutralização de incidentes. Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente e os qualifiquem regularmente com treinamentos profissionais. Tudo isso está disponível na estrutura Kaspersky Expert Security.

Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente. O Kaspersky Threat Intelligence Portal é um ponto único de acesso à inteligência de ameaças da empresa, que fornece dados e insights de ataques cibernéticos coletados por nossa equipe ao longo dos últimos 20 anos. Para ajudar as empresas a fornecer defesas eficazes nesses períodos turbulentos, a Kaspersky anunciou a disponibilização de acesso gratuito a informações independentes atualizadas continuamente e obtidas mundialmente sobre ataques cibernéticos e ameaças atuais.