LockBit 3.0 infrastruktúra azonosítása
A LockBit 3.0 egy ismert zsarolóvírus, amelyet Ransomware-as-a-Service (RaaS) modellben működtetnek. Ebben a modellben független hackerek, az úgynevezett affiliáltak, használják a LockBit által biztosított eszközöket és infrastruktúrát különböző vállalatok és intézmények megtámadására. A támadások során érzékeny adatokat lopnak el és rendszereket titkosítanak, majd váltságdíjat követelnek az adatok visszaállításáért és a kiszivárogtatás elkerüléséért. A LockBit 3.0 fő célpontjai közé tartoznak a pénzügyi, gyártási, egészségügyi és légiközlekedési szektorok, beleértve a Boeing elleni jelentős támadást 2023-ban.
A Knownsec 404 team kutatói ismertetik, hogyan lehet azonosítani a LockBit 3.0-hoz kapcsolódó infrastruktúrát a ZoomEye kibertér-keresőmotor továbbfejlesztett szintaxisának és a viselkedési térképezés koncepciójának alkalmazásával. A szerzők a CISA 2023. november 21-i jelentésében szereplő indikátorokat (IOC) használják kiindulópontként, különösen a 185.17.40[.]178 IP-címet, amely egyedi SSH ujjlenyomattal rendelkezik. A ZoomEye segítségével megvizsgálják az elmúlt év hálózati eszközadatait, hogy további, a LockBit-hez kapcsolódó infrastruktúrát fedezzenek fel.
Az első rétegű elemzés során a szerzők azonosítják azokat az IP-címeket, amelyek ugyanazzal az SSH ujjlenyomattal rendelkeznek, mint a kiinduló IP-cím. A ZoomEye aggregációs statisztikái alapján megállapítják, hogy ezek az IP-címek főként az M247 és az ARTNET szolgáltatókhoz tartoznak. A Scamalytics szerint az M247 Europe SRL közepes csalási kockázatot jelent, míg az Artnet Sp. z o.o. alacsony kockázatú. Ez arra utal, hogy az M247 Europe SRL IP-címeihez rosszindulatú tevékenységek és csalási kockázatok kapcsolódnak.
A második rétegű elemzésben a szerzők a VirusTotal adatbázisában vizsgálják meg a korábban azonosított IP-címeket. Megállapítják, hogy 43 IP-címet rosszindulatúként, míg 53-at LockBit 3.0 címkével jelöltek meg. Ezek az eredmények hozzájárulnak a LockBit-hez kapcsolódó infrastruktúra mélyebb megértéséhez és az ilyen típusú fenyegetések elleni hatékonyabb védekezéshez.