Lockbit maakt honderden slachtoffers in slechts weken tijd

De ransomwaregroepering Lockbit is momenteel een van de meest succesvolle ransomwaregroeperingen. In de afgelopen drie weken hebben ze meer dan 275 slachtoffers gemaakt, en dat zijn dan alleen de bedrijven die niet betalen en op de shame en blame pagina’s terecht komen. Bedrijven die wel betalen komen in dit rijtje niet voor.

Sinds de oprichting in september 2019 hebben ze al meer dan 1200 bedrijven geransomwared. In de tussentijd hebben ze zich steeds verder verbeterd en is inmiddels sprake van Lockbit 3.0.

Volgens Erik Westhovens, cybersecurity onderzoeker en oprichter van Ransomwared, tevens co-auteur van het boek ‘13. Ransomwared’ hebben de aanvallers een nieuwe techniek gevonden om bedrijven te infecteren. In de eerste week van September maakten ze 142 slachtoffers in minder dan 3 dagen. Dat kan haast alleen maar als er nieuwe aanvalstechnieken gebruikt worden.

Payloads in malafide DNS-record verbergen

Alhoewel er nog niets zeker is omdat de meeste getroffen bedrijven geen informatie verstrekken over de hack lijkt het erop dat ze iets van Iodine gebruiken. IP over DNS. Op deze manier kunnen ze de payloads in malicious DNS-records verbergen en hoeven ze maar 1 gebruiker te hebben die op een linkje klikt waarmee via dns requests de txt records worden gelezen.

Via dit soort geavanceerde aanvallen verbergen ze de malicious code en worden ze niet gedetecteerd door moderne EDR- en XDR-platformen, geeft Erik aan. Nadat de gebruiker op de link geklikt heeft wordt de payload in stukjes geladen en op het device gecompileerd waarbij de infectie zich weet af te schermen.

Triple extortion

Bedrijven die door Lockbit getroffen worden krijgen naast de ge-encrypte bestanden ook met data exfiltratie te maken waarmee ze afgeperst worden. Het zogenaamde triple extortion, waarbij er ook DDOS aanvallen worden uitgevoerd zien we bij Lockbit niet vaak alhoewel het zeker wel eens voorkomt.

Schattingen waarbij men ervan uitgaat dat 1 op de 10 bedrijven betalen, geven aan dat Lockbit een hele stabiele bron van inkomsten heeft op deze manier.

Gisteren nog verscheen er een stukje op de ransomwarepagina van Lockbit dat ze de eerste bounty hadden uitgekeerd van 50.000$ aan een onderzoeker die een fout in hun encryptie software had ontdekt. In het bericht op hun darknet pagina word gemeld dat het om een FBI-medewerker gaat die een zakcentje wilde bijverdienen. “A very special thanks to the FBI agent and Coverware contributor who keeps me up to date with the latest information. Thanks to the insider information we have learned about the weaknesses and bugs in our competitors' encryption systems.”