Desde janeiro de 2020, o LockBit funciona com base no modelo ransomware como serviço (RaaS), visando uma ampla gama de empresas e entidades de infraestrutura crítica e usando uma variedade de táticas, técnicas e procedimentos (TTPs).
Também conhecido como LockBit Black, o LockBit 3.0 possui uma arquitetura mais modular em comparação com suas variantes anteriores e oferece suporte a vários argumentos que modificam seu comportamento após a implantação.
Para dificultar a análise e a detecção, os instaladores do LockBit 3.0 são criptografados e só podem ser executados se uma senha for fornecida, explicam o FBI, CISA e MS-ISAC em um comunicado conjunto.
Nos ataques LockBit 3.0 observados, o acesso inicial é obtido por meio de comprometimento do protocolo de área de trabalho remota (RDP), ataques drive-by, phishing, credenciais comprometidas e exploração de vulnerabilidades em aplicativos voltados para o público.
O ransomware usa uma lista codificada de credenciais para se mover lateralmente na rede e também pode se espalhar por meio de objetos de política de grupo e PsExec, por meio do protocolo SMB (Server Message Block).
As organizações são aconselhadas a implementar as melhores práticas de segurança para mitigar os riscos associados ao ransomware, inclusive adotando um plano de recuperação, usando senhas fortes para todas as contas, implementando autenticação multifator resistente a phishing, mantendo todos os sistemas e aplicativos atualizados, implementando segmentação de rede, revisando atividades anormais em suas redes, criando backups de todos os dados, desativando portas e serviços não utilizados, auditando contas de usuários e instalando e mantendo uma solução de segurança moderna.
