Ak máte aktuálne informácie o hrozbách kybernetickej bezpečnosti, pravdepodobne si uvedomujete, akým nebezpečne populárnym sa ransomvér stal. Tento druh malvéru je obrovskou hrozbou pre jednotlivcov aj organizácie, pričom určité kmene sa teraz stávajú najlepšou voľbou pre škodlivých aktérov, vrátane LockBit.
Čo je teda LockBit, odkiaľ pochádza a ako sa pred ním môžete chrániť?
Čo je LockBit Ransomware?
Zatiaľ čo LockBit začal ako jediný kmeň ransomvéru, odvtedy sa niekoľkokrát vyvinul, pričom najnovšia verzia je známa ako „LockBit 3.0“ (o čom budeme diskutovať o niečo neskôr). LockBit zahŕňa rodinu ransomvérových programov, ktoré fungujú pomocou Ransomware-as-a-Service (RaaS) Model.
Ransomware-as-a-Service je obchodný model, ktorý zahŕňa používateľov, ktorí platia za prístup k danému druhu ransomvéru, aby ho mohli použiť na svoje vlastné útoky. Prostredníctvom toho sa používatelia stávajú pridruženými spoločnosťami a ich platba môže zahŕňať paušálny poplatok alebo službu založenú na predplatnom. Stručne povedané, tvorcovia LockBit našli spôsob, ako ďalej profitovať z jeho používania využitím tohto modelu RaaS a môžu dokonca získať časť výkupného, ktoré platia obete.
Cez model RaaS je možné pristupovať k množstvu ďalších ransomvérových programov, vrátane DarkSide a REvil. Okrem toho je LockBit jedným z najpopulárnejších typov ransomvéru, ktorý sa dnes používa.
Vzhľadom na to, že LockBit je rodina ransomvéru, jeho použitie zahŕňa šifrovanie cieľových súborov. Kyberzločinci tak či onak preniknú do zariadenia obete, napríklad prostredníctvom phishingového e-mailu alebo škodlivého prílohu a potom použije LockBit na zašifrovanie všetkých súborov na zariadení tak, aby boli nedostupné pre užívateľ.
Po zašifrovaní súborov obete bude útočník požadovať výkupné výmenou za dešifrovací kľúč. Ak obeť nevyhovie a nezaplatí výkupné, je pravdepodobné, že útočník následne predá údaje na temnom webe za účelom zisku. V závislosti od toho, o aké údaje ide, to môže spôsobiť nezvratné poškodenie súkromia jednotlivca alebo organizácie, čo môže zvýšiť tlak na zaplatenie výkupného.
Odkiaľ sa však tento vysoko nebezpečný ransomvér vzal?
Pôvod LockBit Ransomware
Nie je presne známe, kedy bol LockBit vyvinutý, ale jeho uznávaná história siaha až do roku 2019, kedy bol prvýkrát nájdený. Tento objav prišiel po prvej vlne útokov LockBit, keď bol ransomvér pôvodne vytvorený ako „ABCD“ v súvislosti s názvom rozšírenia šifrovaných súborov využívaných počas útokov. Keď však útočníci začali namiesto toho používať príponu súboru „.lockbit“, názov ransomvéru sa zmenil na súčasný.
Popularita LockBit vzrástla po vývoji jeho druhej iterácie, LockBit 2.0. Koncom roka 2021 sa stále viac používal LockBit 2.0 od pridružených spoločností na útoky a po odstavení iných ransomvérových gangov dokázal LockBit využiť medzeru v trhu.
V skutočnosti zvýšené používanie LockBit 2.0 upevnilo jeho pozíciu ako „najpôsobivejšieho a najrozšírenejšieho variant ransomvéru, ktorý sme zaznamenali pri všetkých porušeniach ransomvéru počas prvého štvrťroka 2022, podľa a Správa Palo Alto. Okrem toho Palo Alto v tej istej správe uviedol, že operátori LockBit tvrdia, že majú najrýchlejší šifrovací softvér zo všetkých momentálne aktívnych ransomvérov.
Ransomvér LockBit bol zaznamenaný vo viacerých krajinách po celom svete vrátane Číny, USA, Francúzska, Ukrajiny, Spojeného kráľovstva a Indie. Pomocou LockBit sa zameralo aj množstvo veľkých organizácií, vrátane Accenture, írsko-americkej spoločnosti poskytujúcej profesionálne služby.
Accenture utrpelo porušenie údajov v dôsledku používania LockBit v roku 2021, pričom útočníci požadovali mamutie výkupné vo výške 50 miliónov dolárov, pričom bolo zašifrovaných viac ako 6 TB údajov. Spoločnosť Accenture nesúhlasila so zaplatením tohto výkupného, hoci spoločnosť tvrdila, že útok nezasiahol žiadnych zákazníkov.
LockBit 3.0 a jeho riziká
Ako sa popularita LockBitu zvyšuje, každá nová iterácia je vážnym problémom. Najnovšia verzia LockBit, známa ako LockBit 3.0, sa už stala problémom, konkrétne v rámci operačných systémov Windows.
V lete 2022 bol LockBit 3.0 používa sa na nakladanie škodlivých nákladov Cobalt Strike na cieľových zariadeniach prostredníctvom využívania programu Windows Defender. V tejto vlne útokov bol zneužitý spustiteľný súbor príkazového riadka známy ako MpCmdRun.exe, takže majáky Cobalt Strike môžu obísť detekciu zabezpečenia.
LockBit 3.0 sa tiež použil pri využívaní príkazového riadku VMWare známeho ako VMwareXferlogs.exe na opätovné nasadenie užitočných zaťažení Cobalt Strike. Nie je známe, či tieto útoky budú pokračovať, alebo sa vyvinú do niečoho úplne iného.
Je zrejmé, že ransomvér LockBit predstavuje vysoké riziko, ako je to v prípade mnohých programov ransomvéru. Ako sa teda môžete udržať v bezpečí?
Ako sa chrániť pred LockBit Ransomware
Vzhľadom na to, že na šifrovanie súborov musí byť vo vašom zariadení najprv prítomný ransomvér LockBit, musíte sa pokúsiť odrezať ho pri zdroji a úplne zabrániť infekcii. Aj keď je ťažké zaručiť vašu ochranu pred ransomvérom, je veľa, čo môžete urobiť, aby ste sa čo najviac vyhli.
Po prvé, je nevyhnutné, aby ste nikdy nesťahovali žiadne súbory alebo softvérové programy zo stránok, ktoré nie sú úplne legitímne. Stiahnutím akéhokoľvek druhu neovereného súboru do vášho zariadenia môže ransomvérový útočník získať jednoduchý prístup k vašim súborom. Uistite sa, že na sťahovanie používate iba dôveryhodné a dobre skontrolované stránky alebo na inštaláciu softvéru oficiálne obchody s aplikáciami.
Ďalším faktorom, ktorý treba poznamenať, je, že ransomvér LockBit je často šíri sa prostredníctvom protokolu RDP (Remote Desktop Protocol). Ak túto technológiu nepoužívate, nemusíte sa tohto ukazovateľa obávať. Ak to však urobíte, je dôležité, aby ste svoju sieť RDP zabezpečili pomocou ochrany heslom, VPN a deaktiváciou protokolu, keď sa priamo nepoužíva. Prevádzkovatelia ransomvéru často vyhľadávajú na internete zraniteľné pripojenia RDP, takže pridaním ďalších vrstiev ochrany bude vaša sieť RDP menej náchylná na útoky.
Ransomvér sa môže šíriť aj prostredníctvom phishingu, neuveriteľne populárneho spôsobu infekcie a krádeže údajov, ktorý používajú záškodníci. Phishing sa najčastejšie nasadzuje prostredníctvom e-mailov, pričom útočník pripojí k telu e-mailu škodlivý odkaz, na ktorý presvedčí obeť, aby naň klikla. Tento odkaz povedie na škodlivú webovú stránku, ktorá môže uľahčiť infekciu škodlivým softvérom.
Predchádzať phishingu je možné rôznymi spôsobmi, vrátane použitia antispamových e-mailových funkcií, webové stránky na kontrolu odkazova antivírusový softvér. Mali by ste tiež overiť adresu odosielateľa každého nového e-mailu a vyhľadať preklepy v e-mailoch (pretože podvodné e-maily sú často plné pravopisných a gramatických chýb).
LockBit je aj naďalej globálnou hrozbou
LockBit sa naďalej vyvíja a zameriava sa na čoraz viac obetí: tento ransomvér v dohľadnej dobe nikam neodíde. Aby ste sa ochránili pred LockBit a ransomware vo všeobecnosti, zvážte niektoré z vyššie uvedených tipov. Aj keď si možno myslíte, že sa nikdy nestanete terčom, vždy je rozumné prijať potrebné opatrenia.
