Pakliže otisk vygenerovaný tímto vyhledáváním splňoval kritéria klíčových slov, nástroj automaticky provedl řadu úkolů, včetně spuštění ransomwaru LockBit.
Výzkumníci zároveň odhalili řadu nových metod útoků, které LockBit využívá, aby se vyhnul odhalení. Ty zahrnují například přejmenovávání souborů PowerShellu a používání vzdáleného dokumentu v Dokumentech Google na komunikaci řídicích příkazů. Vzhledem k vysoce automatizované povaze útoků se ransomware, jakmile je spuštěn, během pěti minut rozšíří po síti a současně likviduje záznamy o své činnosti.
„Zájem ransomwaru LockBit o konkrétní podnikové aplikace a klíčová slova naznačuje, že útočníci jednoznačně hledají systémy, které jsou pro menší společnosti cenné, tedy systémy, které ukládají finanční informace a zajišťují každodenní práci, s cílem tlačit na oběti, aby zaplatily, resp. zaplatily rychleji,“ uvedl Sean Gallagher, senior threat researcher společnosti Sophos. „Už jsme viděli, jak ransomware po svém spuštění zastavuje podnikové aplikace, ale toto je poprvé, kdy vidíme, že útočníci automatizovaným způsobem pátrají po konkrétních typech aplikací, aby si vyhodnotili potenciální cíle.“
Útočníci také během napadení rozsáhlým způsobem využívají PowerShell a upravují kód tak, aby vyhovoval jejich potřebám.
„Vypadá to, že gang kolem ransomwaru LockBit sleduje další ransomwarové skupiny, jako je třeba i Ryuk, u které Sophos nedávno zjistil používání ransomwaru Cobalt Strike, které přizpůsobují nástroje vyvinuté pro penetrační testování za účelem automatizace a zrychlení jejich útoků,“ řekl Gallagher. „V tomto případě PowerShellové skripty pomáhají útočníkům identifikovat systémy, které mají aplikace s obzvláště cennými daty, takže neplýtvají svým časem na šifrování dat nebo „starostí“ o oběti, u kterých je méně pravděpodobné, že zaplatí. Využívají tyto nástroje automatizovaným způsobem, aby se v síti rozšířili, jak je to jen možné, přičemž omezují svoji skutečnou manuální aktivitu a vyhledávají nejslibnější oběti.“
Útočníci za ransomwarem LockBit se snaží skrýt svoje aktivity, aby vypadaly jako běžné automatizované administrativní úkony. Zneužívají k tomu nativní nástroje – vytvořením maskovaných kopií skriptovacích komponent Windows a jejich spuštěním pomocí Plánovače úloh ve Windows. Upraví také integrovanou ochranu proti malwaru, aby nemohla fungovat.
„Jediným způsobem, jak se proti těmto typům ransomwarových útoků bránit, je hloubková obrana s důslednou implementací ochrany před malwarem napříč všemi prostředky. Pokud jsou služby ponechány odhalené nebo nesprávně nakonfigurované, útočníci je mohou snadno využít,“ doplnil Gallagher.
Aktuální studie pokračuje v hloubkové analýze ransomwaru LockBit, kterou Sophos zveřejnil v dubnu 2020, odhaluje jeho vnitřní fungování a ukazuje, jak se gang rozšiřoval k cílenému vydírání společně s ransomwary Maze a REvil.