LockBit Black, diuji pada 1 Mei 2024
Hari ini kita akan membahas serangan ransomware yang berasal dari email berbahaya. Ini adalah serangan rekayasa sosial umum yang dapat menargetkan karyawan mana pun, dan mungkin akan paling efektif terhadap mereka yang secara teratur berkomunikasi dengan pihak ketiga. Umpan di sini adalah Dokumen, tetapi bisa saja lebih spesifik, seperti faktur, tiket parkir, dll.
Email ini berasal dari kampanye malspam yang diamati sekitar akhir April 2024 yang dimulai oleh ransomware yang berafiliasi dengan LockBit Black (alias LockBit 3.0).
Distribusi (email->ZIP->SCR->unduh EXE)
Contoh malware LockBit Black ini didistribusikan melalui kampanye malspam menggunakan botnet Phorpiex. Email dengan subjek “Dokumen Anda” berisi lampiran zip. File di dalam arsip menggunakan trik ekstensi ganda (.doc.scr) untuk meniru dokumen Word.
Perubahan wallpaper:
Dokumen terenkripsi:
Catatan tebusan:
!! ALL YOUR FILES ARE ENCRYPTED !!!
You can't restore them without our decryptor.
Don't try to use any public tools, you could damage the files and lose them forever.
To make sure our decryptor works, contact us and decrypt one file for free.
Download TOX messenger: https://tox[.]chat/
Add friend in TOX, ID: {sanitized}Aliran proses
Perlindungan
Kami menguji dengan melihat setiap lapisan perlindungan:
- Anti-Eksploitasi: lampiran diblokir saat dibuka dari klien email
- Mesin Anti-Malware: lampiran terdeteksi saat dijalankan dari disk
- Mesin Anti-Malware: Muatan LockBit saat dijalankan dari disk
- Anti-Ransomware: enkripsi Lockbit
Deteksi dan Respons Titik Akhir (EDR)
EDR mendeteksi aktivitas mencurigakan terkait dengan penonaktifan salinan bayangan volume oleh LockBit.
Mitigasi
Pelanggan ThreatDown sudah terlindungi dari ancaman ini, dan tidak hanya melalui satu lapisan keamanan tertentu. Hal ini terutama penting untuk ancaman seperti ransomware karena sifatnya yang sangat merusak.
Ada beberapa elemen dalam serangan ini yang dapat dipelajari siapa pun:
- Email berbahaya tersebut meminta pengguna untuk "membalas secepatnya". Ini adalah taktik umum yang digunakan oleh penjahat karena mereka tahu bahwa mereka sering kali memiliki waktu yang sangat terbatas sebelum muatan mereka terdeteksi. Mereka ingin Anda melakukan sesuatu dengan cepat dan lengah.
- Lampiran, file zip, berisi file yang dapat dieksekusi. Banyak, jika tidak sebagian besar klien email tidak mengizinkan file yang dapat dieksekusi untuk dilampirkan secara langsung sebagaimana adanya. Pelaku ancaman akan mengompresnya sebagai .zip, .rar atau ekstensi lainnya. Tentu saja ada arsip yang sah, tetapi Anda harus ekstra hati-hati saat file dikemas dengan cara itu.
- File di dalam zip tersebut bernama Document.doc.scr. Masalahnya, Microsoft Windows sering kali menghilangkan jenis ekstensi yang diketahui. Karena itu, file tersebut akan tampak seperti memiliki ekstensi .doc (dan karenanya tampak seperti dokumen) padahal sebenarnya adalah .scr (screensaver, tetapi dapat dieksekusi). Sebaiknya ubah pengaturan tersebut dan paksa Windows untuk menampilkan semua ekstensi.
Indikator Kompromi (IOC)
Subjek email
Dokumen Anda
Isi email
Halo, Anda dapat menemukan dokumen Anda di lampiran.
Mohon segera membalas.
Salam, GSD Support.
Nama lampiran
Dokumen.zip
Lampiran SHA256
1c5fd7bf511885054464124142f793501ab2c6e987b203c1a5f4b3bdcccb1fa1
Nama lampiran yang diekstraksi
Dokumen.doc.scr
Ekstrak lampiran SHA256
0cc54ffd005b4d3d048e72f6d66bcc1ac5a7a511ab9ecf59dc1d2ece72c69e85
URL unduhan LockBit
hxxp[://]193[.]233[.]132[.]177/lbb[.]exe
KunciBit SHA256
a18a6bacc0d8b1dd4544cdf1e178a98a36b575b5be8b307c27c65455b1307616
