Viss, kas jums jāzina par LockBit ransomware saimi

Ja regulāri sekojat līdzi kiberdrošības apdraudējumiem, jūs droši vien zināt, cik bīstami ir kļuvusi izpirkuma programmatūra . Šāda veida ļaunprogrammatūra ir liels drauds privātpersonām un organizācijām, un vairāki celmi tagad kļūst par ļaunprātīgu dalībnieku, tostarp LockBit, galveno izvēli.

Tātad, kas ir LockBit, no kurienes tas nāk un kā jūs varat pasargāt sevi no šīs izspiedējvīrusa?

Kas ir LockBit Ransomware?

Lai gan LockBit sākās kā viena izspiedējvīrusu saime, tā kopš tā laika ir vairākas reizes attīstījusies, un jaunākā versija tiek saukta par " LockBit 3.0 ". LockBit ietver izspiedējvīrusu programmu saimi, kas darbojas, izmantojot Ransomware-as-a-Service (RaaS) modeli.

Ransomware-as-a-Service ir biznesa modelis, kurā lietotāji maksā par piekļuvi noteikta veida izpirkuma programmatūrai, lai viņi varētu to izmantot saviem uzbrukumiem. Tādējādi šis lietotājs kļūst par filiāli, un viņa maksājums var sastāvēt no fiksētas maksas vai uz abonementu balstīta pakalpojuma. Īsāk sakot, LockBit veidotāji ir atraduši veidu, kā, izmantojot šo RaaS modeli, gūt lielāku peļņu no tā izmantošanas un varbūt pat saņemt izpirkuma maksu no upura.

Izmantojot RaaS modeli, var piekļūt vairākām citām izspiedējvīrusu programmām, tostarp DarkSide un REvil. Turklāt LockBit ir viena no mūsdienās populārākajām izpirkuma programmām.

Ņemot vērā, ka LockBit ir izspiedējvīrusu saime, tās izmantošana ietver mērķa failu šifrēšanu. Kibernoziedznieki vienā vai otrā veidā iefiltrēsies upura ierīcē, iespējams, izmantojot pikšķerēšanas e-pastus vai ļaunprātīgus pielikumus, un pēc tam izmantos LockBit, lai šifrētu visus ierīcē esošos failus, lai tie lietotājam nebūtu pieejami.

Kad upura faili ir šifrēti, uzbrucējs pieprasīs izpirkuma maksu apmaiņā pret atšifrēšanas atslēgu. Ja upuris neievēros un nesamaksā izpirkuma maksu, visticamāk, uzbrucējs pēc tam pārdos datus tumšajā tīmeklī peļņas gūšanai. Atkarībā no tā, kādi dati ir, tas var radīt neatgriezenisku kaitējumu personas vai organizācijas privātumam, kas var palielināt spiedienu maksāt izpirkuma maksu.

Bet no kurienes nāk šī ārkārtīgi bīstamā izpirkuma programmatūra?

LockBit izpirkuma programmatūras izcelsme

Nav precīzi zināms, kad LockBit tika izstrādāts, taču tas ir atzīts kopš 2019. gada, kad tas pirmo reizi tika atrasts. Šis atklājums tika atklāts pēc pirmā LockBit uzbrukumu viļņa, kad izpirkuma programmatūra sākotnēji tika nosaukta par "ABCD", atsaucoties uz uzbrukumos izmantoto šifrēto failu paplašinājumu nosaukumiem. Taču, kad uzbrucēji tā vietā sāka izmantot faila paplašinājumu ".lockbit", izspiedējvīrusa nosaukums tika mainīts uz pašreizējo.

LockBit popularitāte pieauga pēc otrās versijas LockBit 2.0 izstrādes. 2021. gada beigās LockBit 2.0 arvien vairāk tika izmantots uzbrukumiem, un, tā kā citas izspiedējvīrusu grupas pārtrauca darbību, LockBit varēja izmantot tirgus plaisu.

Faktiski pieaugošā LockBit 2.0 ieviešana ir nostiprinājusi savu pozīciju kā "visplašāk izmantotā un ietekmīgākā izspiedējvīrusa versija, ko esam novērojuši no visiem izpirkuma programmatūras pārkāpumiem." 2022. gada pirmajā ceturksnī, teikts Palo Alto ziņojumā. Turklāt Palo Alto tajā pašā ziņojumā norādīja, ka LockBit operatori apgalvo, ka viņiem ir ātrākā šifrēšanas programmatūra no jebkuras pašlaik aktīvās izpirkuma programmatūras.

LockBit izpirkuma programmatūra ir konstatēta daudzās pasaules valstīs, tostarp Ķīnā, ASV, Francijā, Ukrainā, Lielbritānijā un Indijā. Izmantojot LockBit, ir izmantotas arī vairākas lielas organizācijas, tostarp Accenture, īru un amerikāņu profesionālo pakalpojumu uzņēmums.

Accenture 2021. gadā cieta no datu pārkāpuma, izmantojot LockBit, un uzbrucēji pieprasīja milzīgu 50 miljonu dolāru izpirkuma maksu ar vairāk nekā 6 TB šifrētu datu. Accenture nepiekrita maksāt šo izpirkuma maksu, lai gan uzņēmums apstiprināja, ka uzbrukums nav skāris nevienu klientu.

LockBit 3.0 un ar to saistītie riski

Pieaugot LockBit popularitātei, katrs jauns variants rada nopietnas bažas. Jaunākā LockBit versija, ko sauc par LockBit 3.0, ir kļuvusi par problēmu, īpaši Windows operētājsistēmās.

2022. gada vasarā LockBit 3.0 tika izmantots, lai ielādētu ļaunprātīgas Cobalt Strike lietderīgās slodzes mērķa ierīcēs, izmantojot Windows Defender izlietojumu. Šajā uzbrukumu vilnī tika ļaunprātīgi izmantots izpildāms komandrindas fails ar nosaukumu MpCmdRun.exe, lai Cobalt Strike bākas varētu apiet drošības noteikšanu.

LockBit 3.0 tika izmantots arī, lai izmantotu VMWare komandrindu ar nosaukumu VMwareXferlogs.exe, lai vēlreiz izvietotu Cobalt Strike lietderīgo slodzi. Nav zināms, vai šie uzbrukumi turpināsies vai izvērsīsies par kaut ko pavisam citu.

Ir skaidrs, ka LockBit ransomware ir augsts risks, kā tas ir daudzu izpirkuma programmu gadījumā. Tātad, kā jūs varat sevi pasargāt?

Kā pasargāt sevi no LockBit izspiedējvīrusa

Tā kā LockBit izpirkuma programmatūrai vispirms ir jābūt jūsu ierīcē, lai šifrētu failus, vispirms ir pilnībā jānovērš infekcija. Lai gan ir grūti garantēt aizsardzību pret izspiedējvīrusiem, jūs varat darīt daudz.

Pirmkārt, nekad nelejupielādējiet failus vai programmatūras no vietnēm, kas nav pilnībā likumīgas. Lejupielādējot jebkāda veida nepārbaudītu failu savā ierīcē, izspiedējvīrusa uzbrucēji var viegli piekļūt jūsu failiem. Lejupielādei izmantojiet tikai uzticamas un labi novērtētas vietnes vai programmatūras instalēšanai oficiālus lietotņu veikalus.

Vēl viens faktors, kas jāpatur prātā, ir tas, ka LockBit izpirkuma programmatūra bieži tiek izplatīta, izmantojot attālās darbvirsmas protokolu (RDP). Ja neizmantojat šo tehnoloģiju, jums nav pārāk jāuztraucas. Tomēr, ja to darāt, ir svarīgi aizsargāt savu LAP tīklu, izmantojot paroles aizsardzību, VPN un deaktivizējot protokolu, kad tas netiek tieši izmantots. Ransomware operatori bieži skenē internetu, lai atrastu neaizsargātus LAP savienojumus, tāpēc, pievienojot papildu aizsardzības slāņus, jūsu LAP tīkls būs mazāk neaizsargāts pret uzbrukumiem.

Ransomware var izplatīties arī ar pikšķerēšanas palīdzību , kas ir ārkārtīgi izplatīta inficēšanās un datu zādzības metode, ko izmanto ļaunprātīgi dalībnieki. Pikšķerēšana visbiežāk tiek izvietota pa e-pastu, kur uzbrucējs e-pasta pamattekstam pievienos ļaunprātīgu saiti, uz kuras pārliecinās upuri noklikšķināt. Šī saite novirzīs uz ļaunprātīgu vietni, kas var veicināt ļaunprātīgas programmatūras inficēšanos.

No pikšķerēšanas var izvairīties vairākos veidos, tostarp izmantojot pretsurogātpasta līdzekļus, saišu pārbaudes vietnes un pretvīrusu programmatūru. Jums arī jāpārbauda katra jaunā e-pasta sūtītāja adrese un jāpārbauda, ​​vai e-pastā nav pareizrakstības kļūdu (jo pikšķerēšanas e-pastā bieži ir daudz pareizrakstības un gramatikas kļūdu).

LockBit turpina kļūt par globālu draudu

LockBit turpina augt un mērķēt uz arvien vairāk upuriem: šī izspiedējprogrammatūra drīzumā netiks parādīta. Lai pasargātu sevi no LockBit un izpirkuma programmatūras kopumā, ņemiet vērā dažus no iepriekš minētajiem padomiem. Lai gan jūs domājat, ka nekad nekļūsiet par mērķi, jums jebkurā gadījumā ir jāveic nepieciešamie piesardzības pasākumi.