Siapa Sebenarnya Lockbit? Dalang Dibalik Banyaknya Serangan Ransomware


 (Source: SOCRadar)

 One Cyber News - Seperti yang kita ketahui serangan Ransomware BrainCipher varian Lockbit 3.0 pada 17 Juni yang menargetkan Pusat Data Nasional Sementara (PDNS) 2 di Surabaya mengakibatkan terjadinya beberapa gangguan di pemerintahan, khusus nya pemerintah imigrasi, Dampak yang terjadi akibat serangan tersebut mengakibatkan antrian panjang di bandara Soekarno Hatta.
 
 

Profil Dark Web: Lockbit Ransomware 3.0 

 
Frekuensi serangan ransomware terus meningkat setiap tahun. Satu kelompok, LockBit Ransomware Group, bertanggung jawab atas lebih dari sepertiga dari semua serangan ransomware di paruh kedua tahun sebelumnya, kuartal awal tahun 2023.

LockBit Ransomware Group pertama kali diamati pada bulan September 2019, menjadi kelompok ransomware paling aktif pada tahun 2022 dengan ditutupnya Conti, dan pada kuartal pertama tahun 2023, mereka masih menjadi kelompok ransomware paling aktif. Kelompok ini, yang memiliki lebih dari 1500 catatan pengumuman korban di platform SOCRadar, memecahkan rekor pada kuartal pertama tahun 2023 sebagai kelompok ransomware paling aktif sejauh ini, dengan lebih dari 300 korban yang diumumkan.

Atento, sebuah perusahaan CRM, menunjukkan dampak serangan oleh LockBit sebesar 42,1 juta dolar dalam laporan kinerja keuangannya yang diterbitkan pada tahun 2021. 34,8 juta dolar disebabkan oleh hilangnya pendapatan, dan 7,3 juta dolar adalah biaya mitigasi. Meskipun angka-angka fantastis ini dapat bervariasi dari satu perusahaan ke perusahaan lainnya, total kerugian finansial yang disebabkan oleh tindakan kejahatan LockBit dapat melebihi miliaran dolar.
 
Jumlah korban sejauh ini pada tahun 2023 (Source: SOCRadar)
 23
Security researchers juga telah menemukan jenis baru dan bukti bahwa kelompok yang bertanggung jawab atas LockBit 3.0 berencana untuk memperluas kapasitas infeksi malware tersebut. Sementara varian terbaru LockBit 3.0, sebelumnya telah menargetkan server Windows, Linux, dan VMware ESXi, dugaan versi baru enkripsi LockBit telah diidentifikasi yang juga dapat memengaruhi macOS, ARM, FreeBSD, MIPS, dan CPU SPARC. Mengingat volume serangan kelompok ini yang sudah cukup besar, kemungkinan besar mereka akan terus meningkatkan jumlah perangkat target, yang dapat mengakibatkan lonjakan serangan LockBit yang signifikan dalam waktu dekat.
 
 

Siapa Lockbit 3.0 Ransomware Group?

 
LockBit 3.0 adalah grup Ransomware-as-a-Service (RaaS) yang meneruskan warisan LockBit dan LockBit 2.0. Sejak Januari 2020, LockBit mengadopsi pendekatan affiliate-based-ransomware, di mana afiliasinya menggunakan berbagai taktik untuk menargetkan berbagai macam bisnis dan organisasi infrastruktur penting. LockBit telah sangat aktif dalam menyebarkan model seperti double extortion, afiliasi initial access broker, dan beriklan di forum para peretas. Mereka bahkan diketahui merekrut orang dalam dan membuat kontes di forum untuk merekrut peretas terampil; kebijakan ekspansionis seperti itu telah menarik banyak afiliasi, telah menjadi korban ribuan entitas, dan melanjutkan tindakan jahat mereka.

Kelompok Ransomware LockBit bahkan menjalankan program bug bounty-nya sendiri.

LockBit Black, juga dikenal sebagai LockBit 3.0, telah ditarik kembali sebagai varian terbaru dari LockBit sejak Juli 2022. Salah satu perbedaan utama dari pendahulunya adalah kemampuan untuk menyesuaikan berbagai opsi selama kompilasi dan eksekusi payload. LockBit 3.0 menggunakan pendekatan modular dan mengenkripsi payload hingga eksekusi, yang menghadirkan hambatan signifikan untuk analisis dan pendeteksian malware.

Apa saja Target dari Lockbit 3.0?

 
LockBit 3.0 menginfeksi sistem target jika bahasa tersebut tidak ada dalam daftar pengecualian bahasa tertentu. Bahasa yang dikecualikan termasuk bahasa lokal negara-negara yang dipengaruhi Rusia dan bahasa negara-negara sekutu Rusia.

Untuk mengonfirmasi lokasi sistem yang ditargetkan, ransomware LockBit menggunakan fungsi-fungsi:

    * GetSystemDefaultUILanguage()
    * GetUserDefaultUILanguage()

Ini akan cross-checks hasilnya dengan sekumpulan negara, dan jika lokasinya tidak cocok dengan salah satu negara yang ditentukan, malware melanjutkan ke langkah verifikasi berikutnya. Beberapa bahasa yang dikecualikan adalah bahasa Rumania (Moldova), Arab (Suriah), dan Tatar (Rusia), tetapi ini bukan daftar yang lengkap.

Meskipun kelompok ransomware itu mengklaim tidak terlibat dalam politik, banyak targetnya tampaknya adalah NATO dan negara-negara sekutu. Menurut data SOCRadar, sekitar setengah dari serangan dengan varian LockBit 3.0 memengaruhi perusahaan-perusahaan Amerika Serikat.

Korban Ransomware Lockbit 3.0 berdasarkan negara asal (Source: Segurance Informatika)
 
Sekali lagi, menurut data SOCRadar, manufaktur memimpin secara sektoral, tetapi tidak mungkin untuk mengidentifikasi industri yang ditargetkan secara khusus. Fakta bahwa perawatan kesehatan dan pendidikan adalah salah satu sektor yang paling banyak mereka targetkan menunjukkan bahwa tidak ada industri yang dikecualikan, dan dalam hal jenis bisnis. Namun, terlihat bahwa mereka biasanya menargetkan organisasi kecil atau menengah; perusahaan besar seperti perusahaan IT Accenture juga bisa masuk ke dalam kategori korban LockBit.

Top Industri yang menjadi target serangan Lockbit 3.0 (Source: BlackKite)
 
 

Temuan tentang Ransomware LockBit 3.0

 
Menurut saran dari CISA:

LockBit 3.0, sebuah Ransomware-as-a-Service (RaaS), memiliki beberapa opsi untuk mengkonfigurasi perilakunya selama kompilasi. Setelah dieksekusi di sistem korban, afiliasi LockBit 3.0 dapat memodifikasi perilakunya dengan menggunakan argumen tambahan, seperti lateral movement atau safe mode. Jika afiliasi LockBit tidak memiliki akses ke versi ransomware tanpa kata sandi, mereka harus memberikan kata sandi selama eksekusi. Kunci kriptografi yang disediakan menerjemahkan eksekusi ransomware untuk melindungi file yang disandikan yang diunggah ke sistem target.

Afiliasi LockBit 3.0 menggunakan beragam metode untuk akses awal, termasuk mengeksploitasi Remote Desktop Protocol (RDP) , meluncurkan kampanye phishing, dan mengeksploitasi kerentanan pada aplikasi yang berhadapan dengan publik. Menggunakan open-source package installer yang dikenal sebagai Chocolatey untuk menginstal dan mengeksekusi payload berbahaya adalah fitur yang berulang dalam serangan LockBit 3.0, yang kemungkinan besar digunakan untuk menghindari deteksi.

LockBit 3.0 menggunakan kredensial yang dikodekan atau akun lokal yang disusupi dengan hak istimewa yang lebih tinggi untuk menyebar melalui jaringan korban. Menggunakan protokol Server Message Block (SMB), ia juga dapat menyebar melalui Group Policy Objects dan PsExec. Setelah enkripsi, LockBit 3.0 menjatuhkan catatan tebusan dan mengubah wallpaper dan ikon host menjadi merek LockBit. Ia juga dapat mengirimkan informasi host dan bot yang terenkripsi ke server perintah dan kontrol.

Tampilan pesan Lockbit 3.0 dalam bentuk format wallpaper (Source: CISA)

Afiliasi LockBit 3.0 melakukan exfiltrasi pada berkas data perusahaan yang sensitif sebelum melakukan enkripsi dengan menggunakan Stealbit, rclone, alat-alat exfiltrasi yang biasa digunakan oleh LockBit- dan layanan berbagi berkas publik. Afiliasi mereka juga menggunakan layanan berbagi file publik lainnya untuk mengeksfiltrasi data. Pelaku ancaman LockBit menggunakan berbagai alat seperti ProDump dan SoftPerfect Network Scanner untuk mengumpulkan informasi tentang hostnames, network services, dan remote access protocols. Mereka juga menggunakan perangkat lunak desktop jarak jauh, alat transfer file populer, dan PuTTY Link untuk berpindah antar host dan mentransfer file antara host yang disusupi dan server perintah dan kontrol mereka.

Ransomware LockBit menghapus file log, file di recycle bin, dan salinan volume shadow setelah mengenkripsi file korban. Kelompok ini juga menggunakan pendekatan enkripsi hibrida dengan menggunakan algoritma enkripsi AES dan RSA.

Gambaran umum tentang operasi LockBit (Source: Australian Cyber Security Center)
 

Kelompok Ransomware Paling Aktif di Tahun 2022: LockBit


Kelompok LockBit bertanggung jawab atas sekitar satu dari enam serangan ransomware yang menargetkan kantor-kantor pemerintah A.S. pada tahun 2022, menurut Badan Keamanan Siber dan Infrastruktur A.S. (CISA), FBI, dan otoritas keamanan siber lainnya.

Dalam upaya kolaboratif, lembaga-lembaga tersebut menerbitkan pemeriksaan ekstensif terhadap LockBit, yang dianggap sebagai varian ransomware yang paling banyak digunakan di seluruh dunia, pada tahun 2022.

LockBit Melakukan Hampir 1.700 Serangan dan Memperoleh 91 juta dolar dari Korban di AS

Kedua lembaga tersebut mengungkapkan bahwa LockBit telah mengaku bertanggung jawab atas setidaknya 1.653 serangan ransomware dengan mencantumkan daftar korban di situs bocorannya, dan sejak serangan pertama di AS pada Januari 2020, kelompok ini telah memeras sekitar 91 juta dolar dari para korbannya di Amerika Serikat.

Setiap negara yang berpartisipasi membagikan statistik yang menunjukkan prevalensi LockBit di wilayah masing-masing. Misalnya, Australia melaporkan bahwa kelompok ini menyumbang 18% dari total insiden ransomware yang dilaporkan pada tahun lalu. LockBit bertanggung jawab atas lebih dari 20% serangan di Kanada dan Selandia Baru pada tahun 2022.

Di A.S., LockBit menargetkan entitas publik, termasuk pemerintah kota dan kabupaten, lembaga pendidikan publik, dan layanan darurat seperti lembaga penegak hukum, yang merupakan 16% serangan

Dampak yang Semakin Berkembang dari LockBit

 
Penasihat dari CISA menguraikan taktik LockBit dan kerentanan yang dieksploitasi, menyoroti pemanfaatan afiliasi kelompok tersebut yang menggunakan berbagai metode untuk membobol organisasi. Beberapa afiliasi juga memanfaatkan kerentanan populer seperti Log4j.

Beroperasi sebagai Ransomware-as-a-Service (RaaS), LockBit menggaet afiliasinya untuk melakukan berbagai serangan ransomware. Selain itu, CERT NZ mengamati afiliasi LockBit yang terlibat dalam pemerasan ransomware sekunder dengan menargetkan organisasi yang bertanggung jawab untuk mengelola jaringan lain. Setelah menginfeksi target utama, afiliasi melanjutkan untuk memeras perusahaan pelanggan menggunakan ransomware sekunder, mengunci layanan yang mereka gunakan. Temuan ini menekankan jangkauan LockBit yang luas dan jaringan terdesentralisasi dari para pelaku ancaman yang terlibat dalam serangan-serangan ini.

LockBit terus meningkatkan operasinya, berevolusi melalui berbagai versi sejak LockBit Red, seperti LockBit 2.0 dan LockBit 3.0 (LockBit Black). Grup ini mengintegrasikan perkakas dari jenis ransomware lain, seperti BlackMatter dan ALPHV (BlackCat Ransomware), ke dalam LockBit 3.0. Pada bulan Januari 2023, LockBit merilis LockBit Green, yang menggabungkan kode sumber dari ransomware Conti yang telah berakhir.

Para ahli keamanan siber telah mencatat pendekatan khas LockBit dalam meningkatkan modelnya secara konsisten. Pengenalan LockBit 2.0 pada pertengahan tahun 2021 berdampak langsung pada pasar kejahatan siber.

LockBit Mencoba Memperluas Jangkauan ke Berbagai Arsitektur: Apple, Linux, FreeBSD

 
LockBit dilaporkan sedang mengembangkan ransomware yang mampu menyasar sistem yang lebih luas, tidak hanya di lingkungan Windows.

Para peneliti dari Kaspersky baru-baru ini menemukan sebuah file ZIP yang berisi sampel malware LockBit yang menargetkan FreeBSD, Linux, dan berbagai teknologi yang tertanam, termasuk beragam arsitektur set instruksi CPU, termasuk ARM, MIPS, ESA/390, PowerPC, dan bahkan chip Apple M1 yang digunakan pada perangkat Mac dan iPad.

Para peneliti menyatakan bahwa sampel-sampel ini berasal dari variasi enkripsi LockBit sebelumnya, yang digunakan oleh para pelaku ancaman ketika menargetkan VMWare ESXiservers. Namun, sampel-sampel tersebut masih dikembangkan karena beberapa di antaranya belum ditandatangani dan belum dapat dieksekusi.

Namun, fakta bahwa LockBit mencoba mengembangkan ransomware semacam itu mengindikasikan adanya tren yang berkembang di antara para pelaku ransomware untuk memperluas platform target mereka. Jika dirilis, varian ransomware baru ini dapat memberikan tantangan baru bagi para korban dan semakin memantapkan posisi LockBit dalam lanskap ancaman yang terus berkembang.
 

Perjuangan Operasional LockBit, Ancaman Omong Kosong, dan Lonjakan Mendadak

 
Dunia keamanan siber telah terlibat dalam diskusi mengenai kesulitan LockBit untuk sementara waktu sekarang. Para peneliti telah melaporkan bahwa ada tantangan operasional di dalam geng ransomware.

Tantangan-tantangan yang dihadapi geng ini telah menyebabkan penurunan yang nyata pada kualitas aktivitas ransomware mereka. Meskipun demikian, geng yang terkenal kejam ini terus memproyeksikan sebuah fasad narasi yang kuat dalam komunikasi mereka.

Namun, meskipun mempertahankan fasad mereka, pengamatan para peneliti berlaku - LockBit secara konsisten tersandung dalam upaya mereka untuk benar-benar merilis data yang dicuri. Ketidaksinambungan antara klaim dan tindakan mereka ini telah mengarah pada kesimpulan bahwa ancaman mereka hanya omong kosong, hanya mengandalkan reputasi mereka yang terkenal untuk menekan para korban agar membayar uang tebusan.

Ketika diskusi ini terus berlanjut, sebuah kejadian terbaru muncul ke permukaan. Setelah periode relatif tidak aktif selama beberapa bulan, kelompok ransomware LockBit telah mendaftarkan lebih dari 20 korban dalam satu hari.

Tweet terbaru dari vx-underground tidak hanya mengonfirmasi lonjakan aktivitas ini tetapi juga menyoroti bahwa kelompok tersebut telah mengindeks ulang seluruh situs web mereka. Pada tanggal 31 Agustus 2023, situs yang telah dirubah sekarang mencantumkan lebih dari 100 korban sebelumnya yang datanya diduga telah bocor.

Karena kebocoran ini muncul setelah klaim tentang perjuangan LockBit, hampir tampak seolah-olah geng ini mencoba untuk membantah pernyataan tersebut dan mengurangi dampaknya terhadap reputasi geng tersebut. 

Kesimpulan

Kesimpulannya, LockBit 3.0 adalah kelompok Ransomware-as-a-Service (RaaS) yang sangat aktif dan berkembang yang telah memangsa ribuan organisasi di seluruh dunia dan menggunakan berbagai taktik, teknik, dan prosedur karena jumlah afiliasinya yang luas dan besar. Selain itu, ada kemungkinan besar bahwa jumlah korban dan daftar target mereka akan terus meningkat, yang mengarah pada peningkatan serangan LockBit yang signifikan dalam beberapa hari mendatang, terutama jika mereka berhasil menjadi ransomware terkenal pertama yang menyerang perangkat iOS. Penargetan kelompok ini terhadap banyak negara dan sektor, serta upayanya untuk meningkatkan jumlah sistem yang dapat diinfeksinya, juga menunjukkan bahwa ransomware ini menimbulkan bahaya yang signifikan bagi semua organisasi.

Pencegahan Supaya Terhindar dari Ransomware

Afiliasi LockBit biasanya menggunakan kampanye phishing untuk mendapatkan akses awal ke serangan ransomware mereka. Selain itu, afiliasi LockBit juga menggunakan email spam yang berisi dokumen berbahaya, dan mereka mungkin menggunakan kredensial curian untuk mendapatkan akses. Untuk mencegah hal ini, sangat penting untuk menuntut penggunaan otentikasi multi-faktor dan berhati-hati saat membuka lampiran email apa pun.

Langkah yang paling penting dalam mencegah serangan ransomware adalah menyimpanya dalam bentuk cadangan offline. Namun, kelompok ini menggunakan model pemerasan ganda, mencuri data korban sebelum mengenkripsinya, sehingga cadangan offline pun tidak cukup untuk menghindari pembayaran tebusan. Organisasi harus menyadari kerentanan apa pun di lingkungan mereka untuk mencegah hal ini.

MITRE ATT&CK TTPs

 
Tactics Technique ID
Initial Access Valid Accounts T1078
Exploit External Remote Services T1133
Drive-by Compromise T1189
Exploit Public-Facing Application T1190
Phishing T1566
Execution Execution TA0002
Software Deployment Tools T1072
Persistence Valid Accounts T1078
Boot or Logo Autostart Execution T1547
Privilege Escalation Privilege Escalation TA0004
Boot or Logo Autostart Execution T1547
Defense Evasion Obfuscated Files or Information T1027
Indicator Removal: File Deletion T1070.004
Execution Guardrails: Environmental Keying T1480.001
Credential Access OS Credential Dumping: LSASS Memory T1003.001
Discovery Network Service Discovery T1046
System Information Discovery T1082
System Location Discovery: System Language Discovery T1614.001
Lateral Movement Remote Services: Remote Desktop Protocol T1021.001
Command and Control Application Layer Protocol: File Transfer Protocols T1071.002
Protocol Tunnel T1572
Exfiltration Exfiltration TA0010
Exfiltration Over Web Service T1567
Exfiltration Over Web Service: Exfiltration to Cloud Storage T1567.002
Impact Data Destruction T1485
Data Encrypted for Impact T1486
Service Stop T1489
Inhibit System Recovery T1490
Defacement: Internal Defacement T1491.001
 

IOCs


IOCs dari laporan inisiasi dari Badan Pemerintah AS pada LockBit 3.0;

Situs-situs Berbagi File:

  •     https://www.premiumize[.]com
  •     https://anonfiles[.]com
  •     https://www.sendspace[.]com
  •     https://fex[.]net
  •     https://transfer[.]sh
  •     https://send.exploit[.]in
 
Alat-alat Freeware dan Open-Source:
  •     Chocolatey
  •     FileZilla
  •     Impacket
  •     MEGA Ltd MegaSync
  •     Microsoft Sysinternals ProcDump
  •     Microsoft Sysinternals PsExec
  •     Mimikatz
  •     Ngrok
  •     PuTTY Link (Plink)
  •     Rclone
  •     SoftPerfect Network Scanner
  •     Splashtop
  •     WinSCP
 
Mutex
  •     Global
 
Bypass UAC melalui Interface COM yang ditinggikan:
  •     C: WindowsSystem32dllhost.exe
 
Penghapusan Salinan Shadow Volume:
  •    Select * from Win32_ShadowCopy
 
Artefak Registri:
  •     HKCR.

  •     HKCRDefaultIcon

  •     HKCUControl PanelDesktopWallPaper

  •     SOFTWAREPoliciesMicrosoftWindowsOOBE

  •     SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

 

 Tools Yang Digunakan Afiliasi Lockbit

LockBit telah diidentifikasi menggunakan alat-alat berikut ini, seperti yang dicantumkan dalam daftar CISA:

Tool Tujuan Penggunaan Penggunaan Ulang oleh Afiliasi LockBit MITRE ATT&CK ID
7-zip Compresses files into an archive. Compresses data to avoid detection before exfiltration. T1562
AdFind Searches Active Directory (AD) and gathers information. Gathers AD information used to exploit a victim’s network, escalate privileges, and facilitate lateral movement. S0552
Advanced Internet Protocol (IP) Scanner Performs network scans and shows network devices. Maps a victim’s network to identify potential access vectors. T1046
Advanced Port Scanner Performs network scans. Finds open Transmission Control Protocol (TCP) and User Data Protocol (UDP) ports for exploitation. T1046
AdvancedRun Allows software to be run with different settings. Enables escalation of privileges by changing settings before running software. TA0004
AnyDesk Enables remote connections to network devices. Enables remote control of the victim’s network devices. T1219
Atera Remote Monitoring & Management (RMM) Enables remote connections to network devices. Enables remote control of the victim’s network devices. T1219
Backstab Terminates antimalware-protected processes. Terminates endpoint detection and response (EDR)- protected processes. T1562.001
Bat Armor Generates .bat files using PowerShell scripts. Bypasses PowerShell execution policy. T1562.001
Bloodhound Performs reconnaissance of AD for attack path management. Enables identification of AD relationships that can be exploited to gain access to a victim’s network. T1482
Chocolatey Handles command-line package management on Microsoft Windows. Facilitates installation of LockBit affiliate actors’ tools. T1072
Defender Control Disables Microsoft Defender. Enables LockBit affiliate actors to bypass Microsoft Defender. T1562.001
ExtPassword Recovers passwords from Windows systems. Obtains credentials for network access and exploitation. T1003
FileZilla Performs cross-platform File Transfer Protocol (FTP) to a site, server, or host. Enables data exfiltration over FTP to the LockBit affiliate actors’ site, server, or host. T1071.002
FreeFileSync Facilitates cloud-based file synchronization. Facilitates cloud-based file synchronization for data exfiltration. T1567.002
GMER Removes rootkits. Terminates and removes EDR software. T1562.001
Impacket Collection of Python classes for working with network protocols. Enables lateral movement on a victim’s network. S0357
LaZagne Recovers system passwords across multiple platforms. Collect credentials for accessing a victim’s systems and network. S0349
Ligolo Establishes SOCKS5 or TCP tunnels from a reverse connection for pen testing. Enables connections to systems within the victim’s network via reverse tunneling. T1095
LostMyPassword Recovers passwords from Windows systems. Obtains credentials for network access and exploitation. T1003
MEGA Ltd MegaSync Facilitates cloud-based file synchronization. Facilitates cloud-based file synchronization for data exfiltration. T1567.002
Microsoft Sysinternals ProcDump Monitors applications for central processing unit (CPU) spikes and generates crash dumps during a spike. Obtains credentials by dumping the contents of the Local Security Authority Subsystem Service (LSASS). T1003.001
Microsoft Sysinternals PsExec Executes a command-line process on a remote machine. Enables LockBit affiliate actors to control victim’s systems. S0029
Mimikatz Extracts credentials from a system. Extracts credentials from a system for gaining network access and exploiting systems. S0002
Ngrok Enables remote access to a local web server by tunneling over the internet. Enables victim network protections to be bypassed by tunneling to a system over the internet. S0508
PasswordFox Recovers passwords from Firefox Browser. Obtains credentials for network access and exploitation. T1555.003
PCHunter Enables advanced task management, including system processes and kernels. Terminates and circumvents EDR processes and services. T1562.001
PowerTool Removes rootkits and detects, analyzes, and fixing kernel structure modifications. Terminates and removes EDR software. T1562.001
Process Hacker Removes rootkits. Terminates and removes EDR software. T1562.001
PuTTY Link (Plink) Automates Secure Shell (SSH) actions on Windows. Enables LockBit affiliate actors to avoid detection. T1572
Rclone Manages cloud storage files using a command-line program. Facilitates data exfiltration over cloud storage. S1040
Seatbelt Performs numerous security-oriented checks. Performs numerous security-oriented checks to enumerate system information. T1082
ScreenConnect (also known as ConnectWise) Enables remote connections to network devices for management. Enables LockBit affiliate actors to remotely connect to a victim’s systems. T1219
SoftPerfect Network Scanner Performs network scans for systems management. Enables LockBit affiliate actors to obtain information about a victim’s systems and network. T1046
Splashtop Enables remote connections to network devices for management. Enables LockBit affiliate actors to remotely connect to systems over Remote Desktop Protocol (RDP). T1021.001
TDSSKiller Removes rootkits. Terminates and removes EDR software. T1562.001
TeamViewer Enables remote connections to network devices for management. Enables LockBit affiliate actors to remotely connect to a victim’s systems. T1219
ThunderShell Facilitates remote access via Hypertext Transfer Protocol (HTTP) requests. Enables LockBit affiliate actors to remotely access systems while encrypting network traffic. T1071.001
WinSCP Facilitates file transfer using SSH File Transfer Protocol for Microsoft Windows. Enables data exfiltration via the SSH File Transfer Protocol. T1048
Next Post Previous Post
No Comment
Add Comment
comment url