Kraje, izsiljevanje in lažno predstavljanje so na spletu razširjeni, vsak mesec pa na tisoče ljudi postane žrtev različnih prevar in napadov. Ena taka metoda napada uporablja vrsto izsiljevalske programske opreme , imenovano LockBit 3.0. Od kod torej prihaja ta izsiljevalska programska oprema, kako se uporablja in kaj lahko storite, da se zaščitite?
Od kod prihaja LockBit 3.0?
LockBit 3.0
LockBit 3.0 (znan tudi kot LockBit Black) je družina izsiljevalskih programov, nastala iz družine izsiljevalskih programov LockBit. To je skupina izsiljevalskih programov, ki so bili prvič odkriti septembra 2019, po prvem valu napadov. Sprva se je LockBit imenoval ".abcd virus", vendar takrat še ni bilo znano, da bodo ustvarjalci in uporabniki LockBita nadaljevali z ustvarjanjem novih različic prvotnega izsiljevalskega programa.
Družina izsiljevalskih programov LockBit se širi, vendar so tarče le določene žrtve – predvsem tiste, ki si lahko privoščijo plačilo visoke odkupnine. Tisti, ki uporabljajo izsiljevalsko programsko opremo LockBit, pogosto kupijo dostop do protokola oddaljenega namizja (RDP) na temnem spletu , tako da lahko bolj oddaljeno in enostavneje dostopajo do naprav žrtev.
Operaterji LockBita so od prve uporabe ciljali na številne organizacije po vsem svetu, vključno z Združenim kraljestvom, ZDA, Ukrajino in Francijo. Ta družina zlonamernih programov uporablja model Ransomware-as-a-Service (RaaS), v katerem lahko uporabniki plačajo operaterjem za dostop do določene vrste izsiljevalske programske opreme. To običajno vključuje neko obliko registracije. Včasih lahko uporabniki celo preverijo statistiko, ali je bila uporaba izsiljevalske programske opreme LockBit uspešna ali ne.
Šele leta 2021 je LockBit postal priljubljena izsiljevalska programska oprema z LockBit 2.0 (predhodnik trenutne vrste izsiljevalske programske opreme). Na tej točki so se tolpe, ki uporabljajo to izsiljevalsko programsko opremo, odločile sprejeti model dvojnega izsiljevanja. To vključuje tako šifriranje kot eksfiltracijo (ali prenos) datotek žrtve na drugo napravo. Ta dodatna metoda napada naredi celotno situacijo še bolj grozljivo za ciljnega posameznika ali organizacijo.
Najnovejša identificirana vrsta izsiljevalske programske opreme LockBit je LockBit 3.0. Kako torej LockBit 3.0 deluje in kako se uporablja danes?
Kaj je LockBit 3.0?
LockBit 3.0 lahko šifrira in eksfiltrira vse datoteke v okuženi napravi
Konec pomladi 2022 je bila odkrita nova različica skupine izsiljevalskih programov LockBit: LockBit 3.0. Kot izsiljevalski program lahko LockBit 3.0 šifrira in eksfiltrira vse datoteke v okuženi napravi, kar napadalcem omogoča, da zadržijo podatke žrtve kot talca, dokler zahtevana odkupnina ni plačana. Ta izsiljevalska programska oprema trenutno divja in povzroča veliko skrbi.
Potek tipičnega napada LockBit 3.0 je:
1. LockBit 3.0 okuži napravo žrtve, šifrira datoteke in pripne šifrirano končnico datoteke "HLjkNskOq".
2. Nato je za izvedbo šifriranja potreben ključ argumenta ukazne vrstice, imenovan "-pass" .
3. LockBit 3.0 ustvari veliko različnih niti za izvajanje več nalog hkrati, tako da je lahko šifriranje podatkov dokončano v krajšem času.
4. LockBit 3.0 odstrani določene storitve ali funkcije, da bi bil proces šifriranja in filtriranja veliko lažji.
5. API se uporablja za zadrževanje dostopa do baze podatkov upravitelja nadzora storitev.
6. Žrtvi se spremeni ozadje računalnika, da ve, da je napadena.
Če žrtve ne plačajo odkupnine v dovoljenem roku, bodo napadalci LockBit 3.0 podatke, ki so jih ukradli na temnem spletu, prodali drugim kibernetskim kriminalcem. To je lahko pogubno tako za žrtev kot za organizacijo.
V času pisanja LockBit 3.0 predvsem izkorišča Windows Defender za uvajanje Cobalt Strike . Ta programska oprema lahko povzroči tudi verigo okužb z zlonamerno programsko opremo v več napravah.
Med tem postopkom se izkoristi orodje ukazne vrstice MpCmdRun.exe, tako da lahko napadalec dešifrira in sproži opozorila. To se naredi tako, da sistem prevara, da določi prednost in naloži zlonamerno DLL (Dynamic-Link Library).
Izvedljivo datoteko MpCmdRun.exe Windows Defender uporablja za iskanje zlonamerne programske opreme in tako ščiti napravo pred škodljivimi datotekami in programi. Cobalt Strike lahko zaobide varnostne ukrepe programa Windows Defender, zato je postal zelo uporaben za napadalce izsiljevalske programske opreme.
Ta tehnika je znana tudi kot stransko nalaganje in slabim akterjem omogoča krajo podatkov iz okuženih naprav.
Kako preprečiti izsiljevalsko programsko opremo LockBit 3.0?
LockBit 3.0 je vse večja skrb, zlasti med velikimi organizacijami z veliko podatkov, ki jih je mogoče šifrirati in izločiti. Pomembno je zagotoviti, da se izognete tej vrsti nevarnega napada.
Če želite to narediti, se morate najprej prepričati, da uporabljate zelo močna gesla in dvofaktorsko preverjanje pristnosti v vseh svojih računih. Ta dodatna plast varnosti lahko kibernetskim kriminalcem oteži napad z izsiljevalsko programsko opremo. Na primer, upoštevajte napade izsiljevalske programske opreme protokola oddaljenega namizja. V takem primeru bo napadalec skeniral internet za ranljive povezave RDP. Torej, če je vaša povezava zaščitena z geslom in uporablja 2FA, je veliko manj verjetno, da boste tarča.
Poleg tega morate operacijski sistem in protivirusni program v napravi vedno posodabljati. Posodobitve programske opreme so lahko dolgotrajne in moteče, vendar obstaja razlog, da obstajajo. Takšne posodobitve so pogosto opremljene s popravki napak in dodatnimi varnostnimi funkcijami za zaščito vaše naprave in podatkov, zato ne zamudite priložnosti za posodobitev svoje naprave.
Drug pomemben ukrep za preprečevanje napadov z izsiljevalsko programsko opremo je varnostno kopiranje datotek. Včasih napadalci izsiljevalske programske opreme iz različnih razlogov zamolčijo pomembne informacije, ki jih potrebujete, zato bo varnostna kopija do neke mere ublažila škodo. Kopije brez povezave, kot so tiste, shranjene na ključkih USB, so lahko neprecenljive, ko so podatki ukradeni ali izbrisani iz vaše naprave.
Ukrepi po okužbi z izsiljevalsko programsko opremo
Čeprav vas zgornji predlogi lahko zaščitijo pred izsiljevalsko programsko opremo LockBit, je še vedno možna okužba. Če torej odkrijete, da je vaš računalnik okužen z virusom LockBit 3.0, je pomembno, da ne ukrepate prenagljeno. Za odstranitev izsiljevalske programske opreme iz naprave lahko izvedete nekaj korakov, ki jih morate natančno upoštevati.
Organe bi morali obvestiti tudi, če ste žrtev napada izsiljevalske programske opreme. To zainteresiranim stranem pomaga bolje razumeti in obravnavati nekatere vrste izsiljevalske programske opreme.
Nihče ne ve, kolikokrat bo izsiljevalska programska oprema LockBit 3.0 še uporabljena za grožnje in izkoriščanje žrtev. Zato je pomembno, da zaščitite svoje naprave in račune na vse možne načine, da bodo vaši občutljivi podatki ostali varni.
Če se med zagonom sistema Windows pojavi ena ali dve napaki, ni nič posebnega, toda če pogosto naletite na težave v sistemu Windows, je morda težava v vašem operacijskem sistemu.
Predpomnilnik RAM omogoča hiter dostop do pogosto uporabljenih podatkov računalnika in pospeši odziv sistema. Toda kako deluje in kako ga odstraniti?
Kadarkoli ima vaša domača internetna povezava težave, pogosto uporabite čarobno metodo, tako da izključite usmerjevalnik, počakate nekaj minut in ga nato znova priključite. Vse se bo rešilo in omrežje bo spet stabilno delovalo kot običajno. Ste se torej kdaj vprašali, zakaj je redni ponovni zagon usmerjevalnika v tem primeru tako čudežen?
Private Character Editor (PCE) je majhen program Windows, skrit v mapi System32. Je skoraj klon MS Paint, vendar se uporablja za različne ustvarjalne namene. Če želite ustvariti lastne pisave ali ikone, je to orodje, ki ga morate uporabiti.
Uporabite Clonezilla za hitro in zelo preprosto kloniranje celotnega starega trdega diska na nov trdi disk. Ta članek vam bo pokazal, kako klonirati pogon Windows 10 s Clonezilla in bliskovnim pogonom USB.
Nabor ozadij Thanos v tem članku bo na voljo v vseh ločljivostih za vse računalnike in prenosnike
Orodja za odstranjevanje zlonamerne programske opreme in protivirusna programska oprema se med seboj dopolnjujejo in lahko delujejo skupaj, da zagotovijo maksimalno varnost na napravah uporabnikov.
FortiClient je brezplačen protivirusni izdelek podjetja Fortinet. Fortinet je znan po proizvodnji izdelkov strojne opreme za kibernetsko varnost. FortiClient je program za več platform, ki je na voljo za Windows, macOS, Linux, Windows Phone, iOS in Android.
Če uporabljate Windows, prejmete sporočilo o napaki Tega predmeta ni mogoče odpreti. Morda je bil premaknjen, preimenovan ali izbrisan, kaj naj storim? Za podrobnosti sledite spodnjemu članku.
Raziskovalec Mathy Vanhoef z univerze Leuven je odkril resno varnostno napako v omrežnem varnostnem protokolu Wi-Fi Protected Access II (WPA2).
