Krađe, iznude, ucjene i lažno predstavljanje rašireni su na internetu, a tisuće ljudi svakog mjeseca postaju žrtve raznih prijevara i napada. Jedan takav način napada koristi vrstu ransomwarea poznatu kao LockBit 3.0. Dakle, odakle je došao ovaj ransomware, kako se koristi i što možete učiniti da se zaštitite?

Odakle je došao LockBit 3.0?

LockBit 3.0 (također poznat kao LockBit Black) vrsta je ransomwarea koja potiče iz obitelji LockBit ransomwarea. Riječ je o skupini ransomware programa koja je prvi put otkrivena u rujnu 2019., nakon prvog vala napada. U početku se LockBit nazivao ".abcd virus", ali u tom trenutku nije bilo poznato da Kreatori i korisnici LockBita nastavit će stvarati nove iteracije originalnog ransomwarea program.

LockBitova obitelj ransomware programa se sama širi, ali ciljane su samo određene žrtve—uglavnom one koje imaju mogućnost plaćanja velike otkupnine. Oni koji koriste LockBit ransomware često kupuju Remote Desktop Protocol (RDP) pristup na mračnom webu kako bi mogli daljinski i lakše pristupati uređajima žrtava.

instagram viewer

Operateri LockBita ciljaju organizacije diljem svijeta od njegove prve uporabe, uključujući UK, SAD, Ukrajinu i Francusku. Ova obitelj zlonamjernih programa koristi Ransomware-as-a-Service (RaaS) model, u kojem korisnici mogu platiti operaterima da imaju pristup određenoj vrsti ransomwarea. To često uključuje neki oblik pretplate. Ponekad korisnici čak mogu provjeriti statistiku da vide je li njihova upotreba LockBit ransomwarea bila uspješna.

Tek 2021. LockBit je postao prevladavajuća vrsta ransomwarea, kroz LockBit 2.0 (prethodnik trenutne vrste). U ovom trenutku, bande koje su koristile ovaj ransomware odlučile su usvojiti model dvostrukog iznuđivanja. To uključuje i šifriranje i eksfiltraciju (ili prijenos) žrtvinih datoteka na drugi uređaj. Ova dodatna metoda napada cijelu situaciju čini još strašnijom za ciljanog pojedinca ili organizaciju.

Najnovija vrsta LockBit ransomwarea identificirana je kao LockBit 3.0. Dakle, kako LockBit 3.0 radi i kako se koristi danas?

Što je LockBit 3.0?

U kasno proljeće 2022. otkrivena je nova iteracija grupe LockBit ransomware: LockBit 3.0. Kao ransomware program, LockBit 3.0 može šifrirati i eksfiltrirati sve datoteke na zaraženom uređaju, dopuštajući napadaču da drži žrtvine podatke kao taoce naizgled dok se tražena otkupnina ne primi plaćeno. Ovaj ransomware sada je aktivan u divljini i izaziva veliku zabrinutost.

Proces tipičnog LockBit 3.0 napada je:

  1. LockBit 3.0 inficira žrtvin uređaj, šifrira datoteke i dodaje ekstenziju šifriranih datoteka kao “HLjkNskOq”.
  2. Zatim je za provedbu enkripcije potreban ključ argumenta naredbenog retka poznat kao "-pass".
  3. LockBit 3.0 stvara različite niti za izvođenje više zadataka istovremeno, tako da se šifriranje podataka može dovršiti u kraćem vremenu.
  4. LockBit 3.0 briše određene usluge ili značajke kako bi proces enkripcije i eksfiltracije bio mnogo lakši.
  5. API se koristi za pristup bazi podataka upravitelja lučke kontrole usluga.
  6. Pozadina radne površine žrtve se mijenja tako da zna da je napadnuta.

Ako žrtva ne plati otkupninu u traženom roku, LockBit 3.0 napadači će zatim prodati podatke koje su ukrali na mračnom webu drugim kibernetičkim kriminalcima. To može biti katastrofalno i za pojedinačnu žrtvu i za organizaciju.

U vrijeme pisanja, LockBit 3.0 je najpoznatiji po iskorištavanje Windows Defendera za implementaciju Cobalt Strikea, alat za testiranje prodora koji može ispustiti korisni teret. Ovaj softver također može uzrokovati lanac infekcija zlonamjernim softverom na više uređaja.

U tom se procesu iskorištava alat naredbenog retka MpCmdRun.exe kako bi napadač mogao dešifrirati i pokrenuti beacone. To se postiže prevarom sustava da odredi prioritet i učita zlonamjerni DLL (Dynamic-Link Library).

Izvršnu datoteku MpCmdRun.exe Windows Defender koristi za skeniranje zlonamjernog softvera, čime štiti uređaj od štetnih datoteka i programa. S obzirom da Cobalt Strike može zaobići sigurnosne mjere Windows Defendera, postao je vrlo koristan za napadače ransomwarea.

Ova tehnika je također poznata kao bočno učitavanje i omogućuje zlonamjernim stranama da sakriju ili ukradu podatke sa zaraženih uređaja.

Kako izbjeći LockBit 3.0 Ransomware

LockBit 3.0 izaziva sve veću zabrinutost, posebno među većim organizacijama koje imaju hrpe podataka koji se mogu šifrirati i eksfiltrirati. važno je osigurati da se klonite ove opasne vrste napada.

Da biste to učinili, prvo morate provjeriti koristite li super jake lozinke i dvofaktorsku autentifikaciju na svim svojim računima. Ovaj dodatni sloj sigurnosti može otežati kibernetičkim kriminalcima da vas napadnu pomoću ransomwarea. Smatrati Napadi ransomware protokola udaljene radne površine, na primjer. U takvom scenariju, napadač će skenirati internet u potrazi za ranjivim RDP vezama. Dakle, ako je vaša veza zaštićena lozinkom i koristi 2FA, mnogo je manja vjerojatnost da ćete biti meta.

Osim toga, uvijek biste trebali ažurirati operativne sustave i antivirusne programe svojih uređaja. Ažuriranja softvera mogu biti dugotrajna i frustrirajuća, ali postoji razlog zašto postoje. Takva ažuriranja često dolaze s ispravcima grešaka i dodatnim sigurnosnim značajkama kako bi vaši uređaji i podaci bili zaštićeni, stoga nemojte propustiti priliku da ažurirate svoje uređaje.

Još jedna važna mjera koju treba poduzeti ne da biste izbjegli napade ransomwarea, već njihove posljedice, je sigurnosno kopiranje datoteka. Ponekad će napadači ransomwarea uskratiti ključne informacije koje su vam potrebne iz raznih razloga, tako da sigurnosna kopija donekle smanjuje razmjere štete. Izvanmrežne kopije, poput onih pohranjenih na USB memoriji, mogu biti neprocjenjive kada se podaci ukradu ili izbrišu s vašeg uređaja.

Mjere nakon infekcije

Iako vas gornji prijedlozi mogu zaštititi od LockBit ransomwarea, još uvijek postoji mogućnost infekcije. Dakle, ako otkrijete da je vaše računalo zaraženo LockBit 3.0, važno je da se ne ponašate neracionalno. Postoje koraci koje možete poduzeti uklonite ransomware sa svog uređaja, koje biste trebali pažljivo i pažljivo pratiti.

Također biste trebali upozoriti vlasti ako ste postali žrtva napada ransomwarea. To pomaže relevantnim stranama da bolje razumiju i pozabave se određenom vrstom ransomwarea.

LockBit 3.0 napadi bi se mogli nastaviti

Nitko ne zna koliko će se još puta LockBit 3.0 ransomware koristiti za prijetnje i iskorištavanje žrtava. Zbog toga je ključno zaštititi svoje uređaje i račune na sve moguće načine kako bi vaši osjetljivi podaci ostali sigurni.