Ako ste u tijeku s prijetnjama kibernetičkoj sigurnosti, vjerojatno ste svjesni koliko je ransomware postao opasno popularan. Ova vrsta zlonamjernog softvera velika je prijetnja pojedincima i organizacijama, a neki sojevi sada postaju najbolji izbor za zlonamjerne aktere, uključujući LockBit.
Dakle, što je LockBit, odakle je došao i kako se možete zaštititi od njega?
Što je LockBit Ransomware?
Dok je LockBit započeo kao jedan soj ransomwarea, od tada je evoluirao više puta, a najnovija verzija je poznata kao "LockBit 3.0" (o čemu ćemo raspravljati malo kasnije). LockBit obuhvaća obitelj ransomware programa koji rade koristeći Ransomware-as-a-Service (RaaS) model.
Ransomware-as-a-Service poslovni je model koji uključuje plaćanje korisnika za pristup određenoj vrsti ransomwarea kako bi ga mogli koristiti za vlastite napade. Na taj način korisnici postaju pridruženi partneri, a njihovo plaćanje može uključivati paušalnu naknadu ili uslugu temeljenu na pretplati. Ukratko, kreatori LockBita pronašli su način da dodatno profitiraju od njegove upotrebe korištenjem ovog RaaS modela, te čak mogu dobiti dio otkupnine koju su platile žrtve.
Preko RaaS modela može se pristupiti brojnim drugim ransomware programima, uključujući DarkSide i REvil. Uz njih, LockBit je jedan od najpopularnijih tipova ransomwarea koji se danas koriste.
S obzirom na to da je LockBit obitelj ransomwarea, njegova upotreba uključuje enkripciju ciljnih datoteka. Cyberkriminalci će se infiltrirati u žrtvin uređaj na ovaj ili onaj način, možda putem phishing e-pošte ili zlonamjernog privitak, a zatim će koristiti LockBit za šifriranje svih datoteka na uređaju tako da budu nedostupne korisnik.
Nakon što su žrtvine datoteke šifrirane, napadač će tražiti otkupninu u zamjenu za ključ za dešifriranje. Ako se žrtva ne povinuje i ne plati otkupninu, vrlo je vjerojatno da će napadač prodati podatke na mračnom webu radi zarade. Ovisno o tome koji su podaci, to može uzrokovati nepopravljivu štetu privatnosti pojedinca ili organizacije, što može povećati pritisak plaćanja otkupnine.
Ali odakle je došao ovaj vrlo opasni ransomware?
Porijeklo LockBit Ransomwarea
Ne zna se točno kada je LockBit razvijen, ali njegova priznata povijest seže do 2019. godine, kada je prvi put pronađen. Ovo otkriće došlo je nakon prvog vala napada LockBita, kada je ransomware u početku skovan "ABCD" u odnosu na naziv proširenja šifriranih datoteka iskorištavanih tijekom napada. Ali kada su napadači umjesto toga počeli koristiti ekstenziju datoteke ".lockbit", naziv ransomwarea promijenio se u današnji.
Popularnost LockBita porasla je nakon razvoja njegove druge iteracije, LockBit 2.0. Krajem 2021. sve se više koristio LockBit 2.0 od strane podružnica za napade, a nakon gašenja drugih grupa ransomwarea, LockBit je uspio iskoristiti prazninu u tržište.
Zapravo, povećana upotreba LockBita 2.0 učvrstila je njegovu poziciju "najutjecajnijeg i najraširenijeg varijantu ransomwarea koju smo uočili u svim kršenjima ransomwarea tijekom prvog kvartala 2022.", prema a Izvještaj iz Palo Alta. Povrh toga, Palo Alto je u istom izvješću naveo da LockBitovi operateri tvrde da imaju najbrži softver za šifriranje od bilo kojeg trenutno aktivnog ransomwarea.
LockBit ransomware uočen je u više zemalja diljem svijeta, uključujući Kinu, SAD, Francusku, Ukrajinu, UK i Indiju. Brojne velike organizacije također su bile meta korištenja LockBita, uključujući Accenture, irsko-američku tvrtku za profesionalne usluge.
Accenture je pretrpio povredu podataka kao rezultat korištenja LockBita 2021. godine, a napadači su tražili ogromnu otkupninu od 50 milijuna dolara, s više od 6 TB podataka koji su šifrirani. Accenture nije pristao platiti ovu otkupninu, iako je tvrtka tvrdila da nijedan kupac nije pogođen napadom.
LockBit 3.0 i njegovi rizici
Kako popularnost LockBita raste, svaka nova iteracija predstavlja ozbiljan problem. Najnovija verzija LockBita, poznata kao LockBit 3.0, već je postala problem, posebno unutar Windows operativnih sustava.
U ljeto 2022. LockBit 3.0 bio je koristi se za utovar štetnog tereta Cobalt Strike na ciljanim uređajima kroz iskorištavanje Windows Defendera. U ovom valu napada zloupotrijebljena je izvršna datoteka naredbenog retka poznata kao MpCmdRun.exe, tako da svjetionici Cobalt Strike mogu zaobići sigurnosnu detekciju.
LockBit 3.0 također je korišten u iskorištavanju VMWare naredbenog retka poznatog kao VMwareXferlogs.exe za ponovno postavljanje Cobalt Strike korisnih opterećenja. Ne zna se hoće li se ovi napadi nastaviti ili će prerasti u nešto sasvim drugo.
Očito je da je LockBit ransomware visok rizik, kao što je slučaj s mnogim ransomware programima. Dakle, kako se možete zaštititi?
Kako se zaštititi od LockBit Ransomwarea
S obzirom da LockBit ransomware najprije mora biti prisutan na vašem uređaju za šifriranje datoteka, morate ga pokušati odrezati na izvoru i u potpunosti spriječiti infekciju. Iako je teško zajamčiti vašu zaštitu od ransomwarea, postoji mnogo toga što možete učiniti kako biste se klonili što je više moguće.
Prvo, bitno je da nikada ne preuzimate datoteke ili softverske programe s web-mjesta koja nisu posve legitimna. Preuzimanje bilo koje neprovjerene datoteke na vaš uređaj može napadaču ransomwarea omogućiti lak pristup vašim datotekama. Uvjerite se da koristite samo pouzdane i dobro pregledane stranice za svoja preuzimanja ili službene trgovine aplikacija za instalaciju softvera.
Još jedan čimbenik koji treba napomenuti je da je LockBit ransomware često širenje putem protokola udaljene radne površine (RDP). Ako ne koristite ovu tehnologiju, ne morate brinuti o ovom pokazivaču. Međutim, ako to učinite, važno je da svoju RDP mrežu zaštitite zaštitom lozinkom, VPN-ovima i deaktiviranjem protokola kada nije izravno u upotrebi. Operateri ransomwarea često skeniraju internet tražeći ranjive RDP veze, tako da će dodavanje dodatnih slojeva zaštite vašu RDP mrežu učiniti manje osjetljivom na napade.
Ransomware se također može širiti putem krađe identiteta, nevjerojatno popularnog načina zaraze i krađe podataka koji koriste zlonamjerni akteri. Phishing se najčešće provodi putem e-pošte, pri čemu će napadač priložiti zlonamjernu poveznicu tijelu e-pošte na koju će uvjeriti žrtvu da klikne. Ova poveznica vodi do zlonamjerne web stranice koja može omogućiti infekciju zlonamjernim softverom.
Izbjegavanje krađe identiteta može se učiniti na više načina, uključujući korištenje anti-spam značajki e-pošte, web stranice za provjeru poveznica, i antivirusni softver. Također biste trebali provjeriti adresu pošiljatelja svake nove e-pošte i skenirati ima li pogrešaka pri upisu u e-porukama (jer su prijevarne e-pošte često pune pravopisnih i gramatičkih pogrešaka).
LockBit nastavlja biti globalna prijetnja
LockBit se nastavlja razvijati i cilja na sve više i više žrtava: ovaj ransomware neće nikamo otići u skorije vrijeme. Kako biste se zaštitili od LockBita i ransomwarea općenito, razmotrite neke od gornjih savjeta. Iako možda mislite da nikada nećete postati meta, uvijek je pametno poduzeti potrebne mjere opreza.