Kraje, izsiljevanje, izsiljevanje in lažno predstavljanje so na spletu razširjeni, pri čemer vsak mesec na tisoče ljudi postane žrtev različnih prevar in napadov. Eden takih načinov napada uporablja nekakšno izsiljevalsko programsko opremo, znano kot LockBit 3.0. Torej, od kod prihaja ta izsiljevalska programska oprema, kako se uporablja in kaj lahko storite, da se zaščitite?
Od kod je prišel LockBit 3.0?
LockBit 3.0 (znan tudi kot LockBit Black) je različica izsiljevalske programske opreme iz družine izsiljevalskih programov LockBit. To je skupina izsiljevalskih programov, ki je bila prvič odkrita septembra 2019, po prvem valu napadov. Sprva so LockBit imenovali "virus .abcd", vendar takrat še ni bilo znano, da Ustvarjalci in uporabniki LockBita bodo še naprej ustvarjali nove iteracije prvotne izsiljevalske programske opreme program.
Družina izsiljevalskih programov LockBit se širi sama od sebe, vendar so tarče le določene žrtve – predvsem tiste, ki lahko plačajo visoko odkupnino. Tisti, ki uporabljajo izsiljevalsko programsko opremo LockBit, pogosto kupijo dostop do protokola oddaljenega namizja (RDP) na temnem spletu, tako da lahko na daljavo in lažje dostopajo do naprav žrtev.
Operaterji LockBita so že od prve uporabe ciljali na organizacije po vsem svetu, vključno z Združenim kraljestvom, ZDA, Ukrajino in Francijo. Ta družina zlonamernih programov uporablja Ransomware-as-a-Service (RaaS) model, pri katerem lahko uporabniki plačajo operaterjem za dostop do določene vrste izsiljevalske programske opreme. To pogosto vključuje neko obliko naročnine. Včasih lahko uporabniki celo preverijo statistiko, da ugotovijo, ali je bila njihova uporaba izsiljevalske programske opreme LockBit uspešna.
Šele leta 2021 je LockBit postal prevladujoča vrsta izsiljevalske programske opreme z LockBit 2.0 (predhodnik trenutne različice). Na tej točki so se tolpe, ki so uporabile to izsiljevalsko programsko opremo, odločile sprejeti model dvojnega izsiljevanja. To vključuje šifriranje in eksfiltracijo (ali prenos) datotek žrtve v drugo napravo. Ta dodatna metoda napada naredi celotno situacijo še bolj grozljivo za ciljnega posameznika ali organizacijo.
Najnovejša vrsta izsiljevalske programske opreme LockBit je bila identificirana kot LockBit 3.0. Torej, kako deluje LockBit 3.0 in kako se uporablja danes?
Kaj je LockBit 3.0?
Konec pomladi 2022 je bila odkrita nova različica skupine izsiljevalskih programov LockBit: LockBit 3.0. Kot izsiljevalski program lahko LockBit 3.0 šifrira in izločiti vse datoteke na okuženi napravi, kar napadalcu omogoči, da podatke žrtve zadrži kot talca, dokler ni zahtevana odkupnina plačan. Ta izsiljevalska programska oprema je zdaj aktivna v naravi in povzroča veliko skrbi.
Postopek tipičnega napada LockBit 3.0 je:
- LockBit 3.0 okuži napravo žrtve, šifrira datoteke in doda razširitev šifriranih datotek kot “HLjkNskOq”.
- Za izvedbo šifriranja je nato potreben ključ argumenta ukazne vrstice, znan kot "-pass".
- LockBit 3.0 ustvari različne niti za izvajanje več nalog hkrati, tako da je šifriranje podatkov mogoče dokončati v krajšem času.
- LockBit 3.0 izbriše določene storitve ali funkcije, da je postopek šifriranja in izločanja veliko lažji.
- API se uporablja za dostop do baze podatkov upravitelja nadzora pristaniških storitev.
- Ozadje namizja žrtve se spremeni tako, da ve, da je napadena.
Če žrtev v zahtevanem času ne plača odkupnine, bodo napadalci LockBit 3.0 nato podatke, ki so jih ukradli na temnem spletu, prodali drugim kibernetskim kriminalcem. To je lahko katastrofalno tako za posamezno žrtev kot za organizacijo.
V času pisanja je LockBit 3.0 najbolj znan po izkoriščanje programa Windows Defender za namestitev Cobalt Strike, orodje za testiranje penetracije, ki lahko spusti koristne obremenitve. Ta programska oprema lahko povzroči tudi verigo okužb z zlonamerno programsko opremo v več napravah.
V tem procesu se izkoristi orodje ukazne vrstice MpCmdRun.exe, tako da lahko napadalec dešifrira in zažene svetilnike. To se naredi tako, da sistem prevara, da določi prednost in naloži zlonamerno DLL (Dynamic-Link Library).
Izvedljivo datoteko MpCmdRun.exe Windows Defender uporablja za iskanje zlonamerne programske opreme in s tem zaščito naprave pred škodljivimi datotekami in programi. Glede na to, da lahko Cobalt Strike zaobide varnostne ukrepe programa Windows Defender, je postal zelo uporaben za napadalce izsiljevalske programske opreme.
Ta tehnika je znana tudi kot stransko nalaganje in omogoča zlonamernim stranem, da skrivajo ali ukradejo podatke iz okuženih naprav.
Kako se izogniti izsiljevalski programski opremi LockBit 3.0
LockBit 3.0 je vse večja skrb, zlasti med večjimi organizacijami, ki imajo kopice podatkov, ki jih je mogoče šifrirati in izločiti. pomembno je zagotoviti, da se izogibate tej nevarni vrsti napada.
Če želite to narediti, se najprej prepričajte, da uporabljate izjemno močna gesla in dvostopenjsko avtentikacijo na vseh svojih računih. Ta dodana raven varnosti lahko kibernetskim kriminalcem močno oteži napad z uporabo izsiljevalske programske opreme. Razmislite Napadi izsiljevalske programske opreme protokola oddaljenega namizja, na primer. V takem scenariju bo napadalec skeniral internet za ranljive povezave RDP. Torej, če je vaša povezava zaščitena z geslom in uporablja 2FA, je veliko manj verjetno, da boste tarča.
Poleg tega morate vedno posodabljati operacijske sisteme in protivirusne programe svojih naprav. Posodobitve programske opreme so lahko dolgotrajne in frustrirajoče, vendar obstaja razlog, da obstajajo. Takšne posodobitve so pogosto opremljene s popravki napak in dodatnimi varnostnimi funkcijami za zaščito vaših naprav in podatkov, zato ne zamudite priložnosti, da svoje naprave posodabljate.
Drug pomemben ukrep, ki ga je treba sprejeti, je varnostno kopiranje datotek, ne da bi se izognili napadom izsiljevalske programske opreme, temveč njihovim posledicam. Včasih bodo napadalci izsiljevalske programske opreme iz različnih razlogov prikrili ključne informacije, ki jih potrebujete, zato varnostna kopija do neke mere ublaži obseg škode. Kopije brez povezave, kot so tiste, shranjene na ključku USB, so lahko neprecenljive, če so podatki ukradeni ali izbrisani iz vaše naprave.
Ukrepi po okužbi
Čeprav vas zgornji predlogi lahko zaščitijo pred izsiljevalsko programsko opremo LockBit, še vedno obstaja možnost okužbe. Torej, če ugotovite, da je vaš računalnik okužen z LockBit 3.0, je pomembno, da ne ravnate neracionalno. Obstajajo koraki, ki jih lahko storite odstranite izsiljevalsko programsko opremo iz vaše naprave, ki ga morate pozorno in natančno upoštevati.
Oblasti morate opozoriti tudi, če ste postali žrtev napada izsiljevalske programske opreme. To pomaga ustreznim stranem, da bolje razumejo in se spopadejo z določeno vrsto izsiljevalske programske opreme.
Napadi LockBit 3.0 se lahko nadaljujejo
Nihče ne ve, kolikokrat bo izsiljevalska programska oprema LockBit 3.0 še uporabljena za grožnje in izkoriščanje žrtev. Zato je ključnega pomena, da zaščitite svoje naprave in račune na vse možne načine, da bodo vaši občutljivi podatki ostali varni.