Krádeže, vydieranie, vydieranie a napodobňovanie sú na internete rozšírené a tisíce ľudí sa každý mesiac stávajú obeťami rôznych podvodov a útokov. Jeden takýto spôsob útoku využíva druh ransomvéru známy ako LockBit 3.0. Odkiaľ sa teda tento ransomvér vzal, ako sa používa a čo môžete urobiť, aby ste sa ochránili?

Odkiaľ sa vzal LockBit 3.0?

LockBit 3.0 (tiež známy ako LockBit Black) je kmeň ransomvéru, ktorý pochádza z rodiny ransomvéru LockBit. Ide o skupinu ransomvérových programov, ktorá bola prvýkrát objavená v septembri 2019, po prvej vlne útokov. Spočiatku bol LockBit označovaný ako „.abcd vírus“, ale v tom čase nebolo známe, že Tvorcovia a používatelia LockBit budú pokračovať vo vytváraní nových iterácií pôvodného ransomvéru program.

Rodina ransomvérových programov LockBit sa sama šíri, no cieľom sú len niektoré obete – najmä tie, ktoré sú schopné zaplatiť veľké výkupné. Tí, ktorí používajú ransomvér LockBit, si často kupujú prístup k protokolu RDP (Remote Desktop Protocol) na temnom webe, aby mohli na diaľku a jednoduchšie pristupovať k zariadeniam obetí.

instagram viewer

Operátori LockBit sa od jeho prvého použitia zamerali na organizácie po celom svete vrátane Veľkej Británie, USA, Ukrajiny a Francúzska. Táto rodina škodlivých programov používa Ransomware-as-a-Service (RaaS) model, v ktorom môžu používatelia platiť operátorom za prístup k danému druhu ransomvéru. To často zahŕňa určitú formu predplatného. Niekedy môžu používatelia dokonca skontrolovať štatistiky, aby zistili, či ich použitie ransomvéru LockBit bolo úspešné.

Až v roku 2021 sa LockBit stal prevládajúcim druhom ransomvéru prostredníctvom LockBit 2.0 (predchodca súčasného kmeňa). V tomto bode sa rozhodli gangy, ktoré tento ransomvér používali prijať model dvojitého vydierania. Zahŕňa to šifrovanie a exfiltráciu (alebo prenos) súborov obete do iného zariadenia. Táto dodatočná metóda útoku robí celú situáciu pre cieľového jednotlivca alebo organizáciu ešte strašidelnejšou.

Najnovší druh ransomvéru LockBit bol identifikovaný ako LockBit 3.0. Ako teda funguje LockBit 3.0 a ako sa používa dnes?

Čo je LockBit 3.0?

Koncom jari 2022 bola objavená nová iterácia ransomvérovej skupiny LockBit: LockBit 3.0. Ako ransomvérový program dokáže LockBit 3.0 šifrovať a exfiltrovať všetky súbory na infikovanom zariadení, čo umožňuje útočníkovi držať dáta obete ako rukojemníkov, kým nebude požadované výkupné zaplatené. Tento ransomvér je teraz aktívny vo voľnej prírode a spôsobuje veľké obavy.

Proces typického útoku LockBit 3.0 je:

  1. LockBit 3.0 infikuje zariadenie obete, zašifruje súbory a pripojí príponu zašifrovaných súborov ako „HLjkNskOq“.
  2. Na vykonanie šifrovania je potom potrebný argumentový kľúč príkazového riadka známy ako "-pass".
  3. LockBit 3.0 vytvára rôzne vlákna na vykonávanie viacerých úloh súčasne, takže šifrovanie údajov môže byť dokončené v kratšom čase.
  4. LockBit 3.0 vymaže určité služby alebo funkcie, aby bol proces šifrovania a exfiltrácie oveľa jednoduchší.
  5. Rozhranie API sa používa na zabezpečenie prístupu k databáze manažéra riadenia služieb.
  6. Tapeta pracovnej plochy obete sa zmení, aby vedela, že je napadnutá.

Ak obeť nezaplatí výkupné v požadovanom časovom období, útočníci LockBit 3.0 predajú údaje, ktoré ukradli na temnom webe, iným kyberzločincom. To môže byť katastrofálne pre individuálnu obeť aj organizáciu.

V čase písania tohto článku je najpozoruhodnejší LockBit 3.0 využitie programu Windows Defender na nasadenie Cobalt Strike, nástroj na penetračné testovanie, ktorý môže znížiť užitočné zaťaženie. Tento softvér môže tiež spôsobiť reťaz malvérových infekcií na viacerých zariadeniach.

V tomto procese sa využíva nástroj príkazového riadka MpCmdRun.exe, aby útočník mohol dešifrovať a spustiť majáky. Robí sa to oklamaním systému, aby uprednostnil a načítal škodlivú knižnicu DLL (Dynamic-Link Library).

Spustiteľný súbor MpCmdRun.exe používa program Windows Defender na vyhľadávanie škodlivého softvéru, čím chráni zariadenie pred škodlivými súbormi a programami. Vzhľadom na to, že Cobalt Strike dokáže obísť bezpečnostné opatrenia programu Windows Defender, stal sa veľmi užitočným pre útočníkov ransomvéru.

Táto technika je tiež známa ako bočné načítanie a umožňuje zlomyseľným stranám uchovávať alebo kradnúť údaje z infikovaných zariadení.

Ako sa vyhnúť LockBit 3.0 Ransomware

LockBit 3.0 je čoraz väčší problém, najmä medzi väčšími organizáciami, ktoré majú množstvo údajov, ktoré je možné šifrovať a exfiltrovať. je dôležité zabezpečiť, aby ste sa vyhýbali tomuto nebezpečnému druhu útoku.

Ak to chcete urobiť, mali by ste sa najprv uistiť, že na všetkých svojich účtoch používate super silné heslá a dvojfaktorové overenie. Táto pridaná vrstva zabezpečenia môže kyberzločincom sťažiť útok na vás pomocou ransomvéru. Zvážte Ransomvérové ​​útoky protokolu Remote Desktop Protocol, napríklad. V takomto scenári útočník prehľadá internet, či neobsahuje zraniteľné pripojenia RDP. Ak je teda vaše pripojenie chránené heslom a používa 2FA, je oveľa menej pravdepodobné, že vás zacielia.

Okrem toho by ste mali operačné systémy a antivírusové programy svojich zariadení vždy aktualizovať. Aktualizácie softvéru môžu byť časovo náročné a frustrujúce, ale existuje dôvod, prečo existujú. Takéto aktualizácie často obsahujú opravy chýb a ďalšie funkcie zabezpečenia, aby boli vaše zariadenia a údaje chránené, takže nepremeškajte príležitosť aktualizovať svoje zariadenia.

Ďalším dôležitým opatrením, ktoré treba urobiť, aby ste sa nevyhli útokom ransomvéru, ale ich následkom, je zálohovanie súborov. Útočníci ransomvéru niekedy zadržia dôležité informácie, ktoré potrebujete z rôznych dôvodov, takže zálohovanie do určitej miery zmierňuje rozsah škôd. Offline kópie, napríklad tie, ktoré sú uložené na USB kľúči, môžu byť neoceniteľné pri krádeži alebo vymazaní údajov z vášho zariadenia.

Opatrenia po infekcii

Aj keď vás vyššie uvedené návrhy môžu chrániť pred ransomvérom LockBit, stále existuje možnosť infekcie. Takže, ak zistíte, že váš počítač bol infikovaný LockBit 3.0, je dôležité, aby ste nekonali iracionálne. Existujú kroky, ktoré môžete podniknúť odstráňte ransomware zo svojho zariadenia, ktoré by ste mali pozorne a pozorne dodržiavať.

Mali by ste tiež upozorniť úrady, ak ste sa stali obeťou útoku ransomvéru. To pomáha príslušným stranám lepšie pochopiť a riešiť daný kmeň ransomvéru.

Útoky LockBit 3.0 môžu pokračovať

Nikto nevie, koľkokrát sa ešte LockBit 3.0 ransomvér použije na ohrozovanie a zneužívanie obetí. Preto je dôležité chrániť svoje zariadenia a účty všetkými možnými spôsobmi, aby vaše citlivé údaje zostali v bezpečí.