LockBit breidt zijn bereik uit en richt zich nu op macOS

LockBit is bekend geworden door zijn meedogenloze aanvallen op bedrijven over de hele wereld, die een spoor van financiële en operationele verwoesting achterlaten. Dit recente rapport van Kaspersky laat de vastberadenheid van LockBit zien om zijn bereik uit te breiden en de impact van zijn kwaadaardige activiteiten te maximaliseren.

LockBit, een van 's werelds meest productieve ransomware groepen, heeft volgens cybersecurity-experts van Kaspersky onlangs zijn activiteiten uitgebreid met een verbeterde multiplatform functionaliteit.

In de beginfase opereerde LockBit zonder lekportalen, dubbele afpersingstactieken of data-exfiltratie voordat het slachtoffergegevens versleutelde. De groep heeft echter voortdurend zijn infrastructuur en beveiligingsmaatregelen ontwikkeld om zijn activa te beschermen tegen verschillende bedreigingen, waaronder aanvallen op zijn beheerpanelen en ontwrichtende DDoS-aanvallen (Distributed Denial-of-Service).

De cybersecuritygemeenschap heeft opgemerkt dat LockBit code overneemt van andere beruchte ransomware-groepen, zoals BlackMatter en DarkSide. Deze strategische zet stroomlijnt niet alleen de operaties voor potentiële filialen, maar verbreedt ook de reeks aanvalsvectoren die LockBit gebruikt. Recente bevindingen van Kaspersky's Threat Attribution Engine (KTAE) werpen licht op het feit dat LockBit ongeveer 25 procent van de code heeft overgenomen die eerder werd gebruikt door de inmiddels verdwenen Conti-ransomwarebende, wat heeft geresulteerd in een nieuwe variant die bekend staat als LockBit Green.

 

Een belangrijke doorbraak was de ontdekking door Kaspersky-onderzoekers van een ZIP-bestand met LockBit-voorbeelden die specifiek zijn afgestemd op meerdere architecturen, waaronder Apple M1, ARM v6, ARM v7, FreeBSD en meer. Grondige analyse en onderzoek met behulp van de KTAE bevestigde dat deze samples afkomstig waren van de LockBit Linux/ESXi versie die eerder werd waargenomen.

 

Hoewel sommige samples, zoals de macOS-variant, extra configuratie vereisen en niet goed zijn ondertekend, is het duidelijk dat LockBit zijn ransomware actief test op verschillende platforms. Dit duidt op een aanstaande uitbreiding van de aanvallen. Deze ontwikkeling onderstreept de dringende noodzaak van robuuste cybersecuritymaatregelen op alle platforms en een verhoogd bewustzijn binnen het bedrijfsleven.

 

"LockBit is een zeer actieve en beruchte ransomware-groep die bekend staat om zijn verwoestende cyberaanvallen op bedrijven wereldwijd. Met zijn voortdurende infrastructuurverbeteringen en integratie van code van andere ransomwarebendes vormt LockBit een aanzienlijke en evoluerende bedreiging voor organisaties in verschillende sectoren. Het is noodzakelijk voor bedrijven om hun verdediging te versterken en regelmatig beveiligingssystemen bij te werken. Maar ook om werknemers voor te lichten over best practices op het gebied van cybersecurity en incidentresponsprotocollen op te stellen om de risico's van LockBit en soortgelijke ransomwaregroepen effectief te beperken," zegt Marc Rivero, senior security researcher bij Kaspersky's Global Research and Analysis Team.

 

Lees meer over de bijgewerkte toolset van LockBit op Securelist.

Lees ook: SentinelOne-onderzoek: Threat actor-groepen gebruiken gelekte Babuk-code om ESXi-lockers te bouwen

Lees ook: Fortinet onderzoek: tekort aan security-vaardigheden zorgt voor flink meer beveiligingsincidenten