Če ste na tekočem z grožnjami kibernetske varnosti, se verjetno zavedate, kako nevarno priljubljena je postala izsiljevalska programska oprema. Ta vrsta zlonamerne programske opreme je velika grožnja posameznikom in organizacijam, pri čemer nekateri sevi zdaj postajajo najboljša izbira za zlonamerne akterje, vključno z LockBitom.
Torej, kaj je LockBit, od kod prihaja in kako se lahko zaščitite pred njim?
Kaj je izsiljevalska programska oprema LockBit?
Čeprav se je LockBit začel kot ena vrsta izsiljevalske programske opreme, se je od takrat večkrat razvil, pri čemer je najnovejša različica znana kot "LockBit 3.0" (o kateri bomo razpravljali malo kasneje). LockBit obsega družino izsiljevalskih programov, ki delujejo z uporabo Ransomware-as-a-Service (RaaS) model.
Ransomware-as-a-Service je poslovni model, ki vključuje plačevanje uporabnikov za dostop do določene vrste izsiljevalske programske opreme, da jo lahko uporabijo za lastne napade. S tem uporabniki postanejo pridruženi partnerji, njihovo plačilo pa lahko vključuje pavšalno plačilo ali storitev na podlagi naročnine. Skratka, ustvarjalci LockBita so našli način za nadaljnji dobiček od njegove uporabe z uporabo tega modela RaaS in lahko celo prejmejo del odkupnine, ki jo plačajo žrtve.
Preko modela RaaS je mogoče dostopati do številnih drugih izsiljevalskih programov, vključno z DarkSide in REvil. Poleg teh je LockBit ena najbolj priljubljenih vrst izsiljevalske programske opreme, ki se danes uporablja.
Glede na to, da je LockBit družina izsiljevalskih programov, njegova uporaba vključuje šifriranje ciljnih datotek. Kibernetski kriminalci se bodo na tak ali drugačen način infiltrirali v žrtvino napravo, morda prek lažnega e-poštnega sporočila ali zlonamernega prilogo in bo nato uporabil LockBit za šifriranje vseh datotek v napravi, tako da niso dostopne uporabnik.
Ko so datoteke žrtve šifrirane, bo napadalec zahteval odkupnino v zameno za ključ za dešifriranje. Če žrtev ne ugodi in plača odkupnine, je verjetno, da bo napadalec podatke prodal na temnem spletu za dobiček. Odvisno od tega, za katere podatke gre, lahko to povzroči nepopravljivo škodo zasebnosti posameznika ali organizacije, kar lahko poveča pritisk plačila odkupnine.
Toda od kod prihaja ta zelo nevarna izsiljevalska programska oprema?
Izvori izsiljevalske programske opreme LockBit
Ni natančno znano, kdaj je bil LockBit razvit, vendar njegova priznana zgodovina sega v leto 2019, ko je bil prvič odkrit. To odkritje je prišlo po prvem valu napadov LockBita, ko je bila izsiljevalska programska oprema prvotno skovana kot "ABCD" glede na ime razširitve šifriranih datotek, ki so bile izkoriščene med napadi. Toda ko so napadalci namesto tega začeli uporabljati pripono datoteke ».lockbit«, se je ime izsiljevalske programske opreme spremenilo v današnje.
Priljubljenost LockBita je narasla po razvoju njegove druge ponovitve, LockBit 2.0. Konec leta 2021 se je vse bolj uporabljal LockBit 2.0 podružnic za napade in po zaprtju drugih združb izsiljevalske programske opreme je LockBit lahko izkoristil vrzel v trgu.
Pravzaprav je povečana uporaba LockBit 2.0 utrdila njegov položaj "najučinkovitejšega in najbolj razširjenega različico izsiljevalske programske opreme, ki smo jo opazili pri vseh kršitvah izsiljevalske programske opreme v prvem četrtletju leta 2022," a Poročilo Palo Alto. Poleg tega je Palo Alto v istem poročilu navedel, da operaterji LockBita trdijo, da imajo najhitrejšo programsko opremo za šifriranje med vsemi trenutno aktivnimi izsiljevalskimi programi.
Izsiljevalska programska oprema LockBit je bila opažena v številnih državah po vsem svetu, vključno s Kitajsko, ZDA, Francijo, Ukrajino, Združenim kraljestvom in Indijo. Številne velike organizacije so bile tarče tudi z uporabo LockBita, vključno z Accenture, irsko-ameriškim podjetjem za profesionalne storitve.
Accenture je zaradi uporabe LockBita leta 2021 utrpel vdor v podatke, pri čemer so napadalci zahtevali ogromnih 50 milijonov dolarjev odkupnine, pri čemer je bilo šifriranih več kot 6 TB podatkov. Accenture se ni strinjal s plačilom te odkupnine, čeprav je podjetje trdilo, da napad ni prizadel nobene stranke.
LockBit 3.0 in njegova tveganja
Ker priljubljenost LockBita narašča, je vsaka nova ponovitev resna skrb. Najnovejša različica LockBit, znana kot LockBit 3.0, je že postala težava, zlasti v operacijskih sistemih Windows.
Poleti 2022 je bil LockBit 3.0 uporablja se za nalaganje škodljivega tovora Cobalt Strike na ciljnih napravah z izkoriščanjem programa Windows Defender. V tem valu napadov je bila zlorabljena izvedljiva datoteka ukazne vrstice, znana kot MpCmdRun.exe, tako da lahko svetilniki Cobalt Strike obidejo varnostno zaznavo.
LockBit 3.0 je bil uporabljen tudi pri izkoriščanju ukazne vrstice VMWare, znane kot VMwareXferlogs.exe, za ponovno namestitev uporabnih tovorov Cobalt Strike. Ali se bodo ti napadi nadaljevali ali pa se bodo razvili v nekaj povsem drugega, ni znano.
Očitno je, da je izsiljevalska programska oprema LockBit visoko tvegana, kot velja za številne izsiljevalske programe. Torej, kako se lahko zaščitite?
Kako se zaščititi pred izsiljevalsko programsko opremo LockBit
Glede na to, da mora biti za šifriranje datotek v vaši napravi najprej prisotna izsiljevalska programska oprema LockBit, jo morate poskusiti odstraniti pri viru in v celoti preprečiti okužbo. Čeprav je težko zagotoviti vašo zaščito pred izsiljevalsko programsko opremo, lahko storite veliko, da se čim več izogibate.
Prvič, bistveno je, da nikoli ne prenašate nobenih datotek ali programov s spletnih mest, ki niso povsem legitimna. Prenos kakršnih koli nepreverjenih datotek v vašo napravo lahko napadalcu izsiljevalske programske opreme omogoči preprost dostop do vaših datotek. Prepričajte se, da za svoje prenose uporabljate samo zaupanja vredna in dobro pregledana spletna mesta ali uradne trgovine z aplikacijami za namestitev programske opreme.
Drug dejavnik, ki ga je treba upoštevati, je, da je izsiljevalska programska oprema LockBit pogosto širjenje prek protokola oddaljenega namizja (RDP). Če ne uporabljate te tehnologije, vam ni treba skrbeti za ta kazalec. Če pa to storite, je pomembno, da zavarujete svoje omrežje RDP z zaščito z geslom, VPN-ji in deaktivacijo protokola, ko ni neposredno v uporabi. Operaterji izsiljevalske programske opreme pogosto pregledujejo internet za ranljive povezave RDP, zato bo z dodajanjem dodatnih ravni zaščite vaše omrežje RDP manj dovzetno za napade.
Izsiljevalska programska oprema se lahko širi tudi z lažnim predstavljanjem, izjemno priljubljenim načinom okužbe in kraje podatkov, ki ga uporabljajo zlonamerni akterji. Lažno predstavljanje se najpogosteje izvede prek e-pošte, pri čemer bo napadalec v telo e-pošte priložil zlonamerno povezavo, na katero bo žrtev prepričal, da klikne. Ta povezava vodi do zlonamernega spletnega mesta, ki lahko olajša okužbo z zlonamerno programsko opremo.
Lažnemu predstavljanju se je mogoče izogniti na več načinov, vključno z uporabo funkcij za zaščito pred vsiljeno pošto, spletna mesta za preverjanje povezavin protivirusno programsko opremo. Prav tako morate preveriti naslov pošiljatelja vsakega novega e-poštnega sporočila in poiskati, ali so v e-poštnih sporočilih tipkarske napake (ker so lažna e-poštna sporočila pogosto polna črkovalnih in slovničnih napak).
LockBit je še naprej globalna grožnja
LockBit se še naprej razvija in cilja na vedno več žrtev: ta izsiljevalska programska oprema ne bo kmalu nikamor ušla. Da bi se zaščitili pred LockBitom in izsiljevalsko programsko opremo na splošno, upoštevajte nekaj zgornjih nasvetov. Čeprav morda mislite, da ne boste nikoli postali tarča, je vseeno pametno sprejeti potrebne previdnostne ukrepe.
