Ransomware LockBit expande seu alcance visando Macs e outros dispositivos

Segundo monitoramento da Kaspersky, o LockBit - grupo de ransomware com maior atuação ao redor do mundo – aprimorou sua operação com funcionalidades multiplataforma – mais especificamente para sequestrar arquivos em computadores com o sistema macOS. O LockBit ganhou projeção por seus ataques incansáveis a empresas do mundo inteiro, inclusive no Brasil. Recentemente a CISA, órgão do governo americano, anunciou que o grupo obteve lucros de 91 milhões de dólares, pagos por empresas vítimas de ataques nos EUA. A informação reforça uma das conclusões do relatório da Kaspersky que destaca a determinação do grupo de ampliar seu alcance e maximizar o impacto às suas vítimas.

Em suas primeiras fases, o LockBit operou sem divulgar seus ataques em um portal, táticas de dupla extorsão ou de exfiltração de dados antes de criptografar as informações e sistemas das vítimas. No entanto, o grupo desenvolve continuamente sua infraestrutura e medidas de segurança para proteger seus ativos de diversas ameaças, incluindo ataques sobre seus sistemas de afiliados e ataques de negação de serviço distribuídos (DDoS).

A comunidade de cibersegurança observou que o LockBit está adotando o código de outros grupos de ransomware, como o BlackMatter e DarkSide. Além de simplificar as operações para possíveis afiliados, esse movimento estratégico também amplia as possibilidade de iniciar uma infecção pelo LockBit. Descobertas recentes do Kaspersky Threat Attribution Engine (KTAE) mostra que o LockBit incorporou aproximadamente 25% do código antes usado pelo agora inativo ransomware Conti, resultando em uma nova variação conhecida como LockBit Green.

Em um passo significativo, os pesquisadores da Kaspersky descobriram um arquivo ZIP contendo amostras do LockBit adaptadas especificamente para diversas arquiteturas, incluindo Apple M1, ARM v6, ARM v7, FreeBSD e outras. Com uma análise e investigação completa usando o KTAE, foi confirmado que essas amostras tiveram origem na versão Linux/ESXi do LockBit observada anteriormente.

Embora algumas amostras, como a variação para macOS, exijam configuração adicional e não sejam assinadas adequadamente, é evidente que o LockBit está testando seu ransomware ativamente em várias plataformas, o que indica uma expansão iminente dos ataques. Essa evolução enfatiza a necessidade urgente de medidas robustas de cibersegurança em todas as plataformas e conscientização intensa na comunidade corporativa.

“O LockBit é um grupo de ransomware extremamente ativo, conhecido por seus ataques cibernéticos devastadores sobre empresas do mundo inteiro. Com os aprimoramentos contínuos da infraestrutura e a incorporação de código de outras gangues de ransomware, o LockBit representa uma ameaça substancial e em evolução para organizações de diversos setores. É fundamental que as empresas reforcem suas defesas, atualizem seus sistemas de segurança regularmente, instruam os funcionários sobre as práticas recomendadas de cibersegurança e estabeleçam protocolos de resposta a incidentes para atenuar de modo efetivo os riscos apresentados pelo LockBit e grupos de ransomware semelhantes”, comenta Marc Rivero, pesquisador sênior em segurança da Equipe de Pesquisa e Análise Global da Kaspersky. 

Saiba mais sobre o conjunto de ferramentas atualizado do LockBit em Securelist.

Para se proteger e à sua empresa de ataques de ransomware, considere seguir as práticas propostas pela Kaspersky:

• Sempre mantenha o software atualizado em todos os dispositivos que você usa para evitar que atacantes explorem vulnerabilidades e se infiltrem em sua rede.
• Concentre sua estratégia de defesa na detecção de movimentação lateral e em vazamentos de dados para a Internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos com a sua rede. Configure backups off-line que invasores não serão capazes de adulterar. Garanta que você possa acessá-los rapidamente quando necessário ou em caso de emergência.
• Ative a proteção contra ransomware em todos os endpoints.
• Instale soluções anti-APTs e de EDR, ativando as funcionalidades de descoberta e detecção de ameaças avançadas, investigação e rápida neutralização de incidentes. Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente e os qualifiquem regularmente com treinamentos profissionais. Tudo isso está disponível na estrutura Kaspersky Expert Security.
• Possibilite o acesso da equipe de seu SOC à inteligência de ameaças mais recente. O Kaspersky Threat Intelligence Portal é um ponto único de acesso à inteligência de ameaças da empresa, que fornece dados e insights de ataques cibernéticos coletados por nossa equipe ao longo dos últimos 20 anos.

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.