Pas op voor LockBit 2.0-ransomware, schakel multifactorauthenticatie in en gebruik sterke wachtwoorden

Het Federal Bureau of Investigations (FBI) heeft een waarschuwing gepubliceerd over LockBit 2.0. aanbevelend om multi-factor authenticatie (MFA) in te schakelen en sterke, unieke wachtwoorden te gebruiken voor alle beheerders- en hoogwaardige accounts, om de ransomware te dwarsbomen.

Bron: ZD Net

MFA is essentieel voor de bescherming tegen gecompromitteerde gebruikers- en beheerderswachtwoorden, maar Microsoft heeft geconstateerd dat 78% van de organisaties die Azure Active Directory gebruiken, MFA niet inschakelen.

LockBit 2.0 richt zich op Windows-pc’s en nu ook op Linux-servers via bugs in de virtuele ESXi-machines van VMWare, en heeft onder andere de tech consulting- en servicesgigant Accenture en het Franse Ministerie van Justitie getroffen.

De operators van LockBit gebruiken elke beschikbare methode om een ​​netwerk te compromitteren, zolang het maar werkt. Deze omvatten, maar zijn niet beperkt tot, het kopen van toegang tot een reeds gecompromitteerd netwerk van “access brokers”, het exploiteren van niet-gepatchte softwarebugs en zelfs betalen voor insider-toegang, evenals het gebruik van exploits voor voorheen onbekende zero-day-fouten, volgens het FBI-rapport.

De technieken van de groep blijven evolueren. De FBI zegt dat de operators van LockBit zijn begonnen met adverteren voor insiders bij een doelbedrijf om hen te helpen de eerste toegang tot het netwerk te krijgen. Insiders kregen een verlaging van de opbrengst van een succesvolle aanval beloofd. Een maand eerder begon het met het automatisch versleutelen van apparaten in Windows-domeinen door misbruik te maken van het groepsbeleid in Active Directory.

Na het compromitteren van een netwerk, gebruikt LockBit penetratietesttools zoals Mimikatz om privileges te verhogen en meerdere tools te gebruiken om gegevens te exfiltreren (om slachtoffers te bedreigen met een lek als ze niet betalen) voordat ze bestanden versleutelen. LockBit laat altijd een losgeldbriefje achter met instructies voor het verkrijgen van de decoderingssleutel.

Net als andere ransomware-operaties in Rusland, bepaalt LockBit 2.0 de systeem- en gebruikerstaalinstellingen en sluit een organisatie uit van aanvallen als de talen een van de 13 Oost-Europese talen zijn. De FBI somt de taalcodes op in LockBit 2.0 van februari 2022 – zoals 2092 voor Azeri/Cyrillisch en 1067 voor Armeens – die ervoor zorgen dat het niet wordt geactiveerd.

“Als een Oost-Europese taal wordt gedetecteerd, wordt het programma zonder infectie afgesloten”, merkt de FBI op.

Lockbit 2.0 identificeert en verzamelt de hostnaam, hostconfiguratie, domeininformatie, lokale schijfconfiguratie, externe shares en gekoppelde externe opslagapparaten van een geïnfecteerd apparaat.

Vervolgens probeert het gegevens te versleutelen die zijn opgeslagen op elk lokaal of extern apparaat, maar slaat het bestanden over die zijn gekoppeld aan de belangrijkste systeemfuncties, aldus de FBI. Hierna verwijdert het zichzelf van de schijf en creëert het persistentie bij het opstarten.

Naast het vereisen van sterke, unieke wachtwoorden en MFA voor webmail, VPN’s en accounts voor kritieke systemen, beveelt de FBI ook een reeks maatregelen aan, waaronder het up-to-date houden van besturingssystemen en software en het verwijderen van onnodige toegang tot beheerdersshares. Het raadt ook aan om een ​​hostgebaseerde firewall te gebruiken en “beveiligde bestanden” in Windows in te schakelen, verwijzend naar Microsoft’s gecontroleerde maptoegang.

Het beveelt ook aan dat bedrijven hun netwerken segmenteren, abnormale activiteiten onderzoeken, op tijd gebaseerde toegang implementeren voor accounts die op beheerdersniveau en hoger zijn ingesteld, opdrachtregel- en scriptactiviteiten en -machtigingen uitschakelen en – natuurlijk – offline back-ups van gegevens onderhouden.