LockBit и его наследие: как утечка привела к созданию нового вымогательского ПО

Группировка LockBit, которая атаковала тысячи организаций по всему миру, столкнулась с утечкой своих инструментов в сентябре 2022 года из-за недовольства одного из ее партнеров. Эксперты по кибербезопасности сразу выразили опасения, что менее опытные хакеры смогут создавать свое собственное вымогательское ПО с помощью украденных инструментов.

Компания Sophos обнаружила, что опасения не были напрасными. За последние недели были зарегистрированы по крайней мере два случая, когда хакеры использовали самодельные варианты вымогательского ПО, созданные с использованием инструментов из набора LockBit, чтобы атаковать организации, эксплуатируя популярные уязвимости.

Один из таких случаев - использование хакерами уязвимости CVE-2023-40044, затрагивающей продукт WS_FTP Server от Progress Software. Уязвимость была обнаружена три недели назад, и компания Progress выпустила патч для ее устранения, однако исследователи Sophos утверждают, что они все еще находят незапатченные серверы.

Кристофер Бадд из Sophos заявил, что в исследованных атаках его команда заметила лишь вымогательское ПО, скомпилированное на основе утечки исходного кода LockBit, произошедшей в прошлом году.

Sophos также поделилась копией записки о выкупе, которую, как утверждается, отправила группировка «The Reichsadler Cybercrime Group». В записке хакеры требовали выкуп в биткоинах в сумме эквивалентной $500.

Помимо этого, был зафиксирован случай, когда хакеры, используя клон LockBit, пытались атаковать устаревшие и неподдерживаемые серверы Adobe ColdFusion. В данном случае хакеры назвали свое вымогательское ПО BlackDogs2023. Хотя атаку удалось заблокировать до ее завершения, злоумышленники потребовали выкуп в размере 205 Monero (примерно $30,000) за расшифровку «украденных» данных.

«Это уже второй случай за последнее время, когда злоумышленники пытаются использовать украденный исходный код LockBit для создания новых вариантов вымогательского ПО», - отметили в компании.

«Следует отметить, что установка патчей закрывает уязвимости, но не гарантирует полной защиты. Поэтому организации также должны проверить свои серверы на предмет возможных компрометаций, особенно если они используют неподдерживаемое программное обеспечение, чтобы избежать подобных атак», - заключили в Sophos.