Krádeže, vydírání, vydírání a předstírání jiné identity jsou na internetu běžné a tisíce lidí se každý měsíc stávají obětí různých podvodů a útoků. Jeden takový způsob útoku využívá jakýsi ransomware známý jako LockBit 3.0. Odkud se tedy tento ransomware vzal, jak se používá a co můžete udělat, abyste se ochránili?

Kde se vzal LockBit 3.0?

LockBit 3.0 (také známý jako LockBit Black) je kmen ransomwaru pocházejícího z rodiny ransomwarů LockBit. Jedná se o skupinu ransomwarových programů, která byla poprvé objevena v září 2019, poté, co proběhla první vlna útoků. Zpočátku byl LockBit označován jako ".abcd virus", ale v té době nebylo známo, že Tvůrci a uživatelé LockBit by pokračovali ve vytváření nových iterací původního ransomwaru program.

Rodina ransomwarových programů LockBit se sama šíří, ale cílem jsou pouze některé oběti – zejména ty, které jsou schopny zaplatit velké výkupné. Ti, kteří používají ransomware LockBit, si často kupují přístup k protokolu RDP (Remote Desktop Protocol) na temném webu, aby mohli vzdáleně a snadněji přistupovat k zařízením obětí.

instagram viewer

Operátoři LockBit se od prvního použití zaměřili na organizace po celém světě, včetně Velké Británie, USA, Ukrajiny a Francie. Tato rodina škodlivých programů používá Ransomware-as-a-Service (RaaS) model, ve kterém mohou uživatelé platit operátorům za přístup k danému druhu ransomwaru. To často zahrnuje určitou formu předplatného. Někdy mohou uživatelé dokonce zkontrolovat statistiky, aby zjistili, zda jejich použití ransomwaru LockBit bylo úspěšné.

Až v roce 2021 se LockBit stal převládajícím druhem ransomwaru prostřednictvím LockBit 2.0 (předchůdce současného kmene). V tuto chvíli se rozhodly gangy, které tento ransomware používaly přijmout model dvojitého vydírání. To zahrnuje jak šifrování, tak exfiltraci (nebo přenos) souborů oběti do jiného zařízení. Tato dodatečná metoda útoku činí celou situaci pro cílenou osobu nebo organizaci ještě děsivější.

Nejnovější druh ransomwaru LockBit byl identifikován jako LockBit 3.0. Jak tedy LockBit 3.0 funguje a jak se dnes používá?

Co je LockBit 3.0?

Na konci jara 2022 byla objevena nová iterace skupiny ransomwaru LockBit: LockBit 3.0. Jako ransomwarový program dokáže LockBit 3.0 šifrovat a exfiltrovat všechny soubory na infikovaném zařízení, což umožňuje útočníkovi držet data oběti jako rukojmí, dokud nebude požadované výkupné zaplaceno. Tento ransomware je nyní aktivní ve volné přírodě a vyvolává velké obavy.

Proces typického útoku LockBit 3.0 je:

  1. LockBit 3.0 infikuje zařízení oběti, zašifruje soubory a přidá příponu zašifrovaných souborů jako „HLjkNskOq“.
  2. K provedení šifrování je pak vyžadován klíč argumentu příkazového řádku známý jako "-pass".
  3. LockBit 3.0 vytváří různá vlákna k provádění více úkolů současně, takže šifrování dat lze dokončit za kratší dobu.
  4. LockBit 3.0 odstraňuje určité služby nebo funkce, aby byl proces šifrování a exfiltrace mnohem jednodušší.
  5. Pro přístup k databázi správce řízení služeb se používá rozhraní API.
  6. Tapeta na ploše oběti se změní, aby věděla, že je napadena.

Pokud oběť nezaplatí výkupné v požadovaném časovém období, útočníci LockBit 3.0 prodají data, která ukradli na temném webu, dalším kyberzločincům. To může být katastrofální jak pro jednotlivou oběť, tak pro organizaci.

V době psaní je LockBit 3.0 nejpozoruhodnější využívající Windows Defender k nasazení Cobalt Strike, nástroj pro penetrační testování, který může snížit užitečné zatížení. Tento software může také způsobit řetězec malwarových infekcí napříč více zařízeními.

V tomto procesu se využívá nástroj příkazového řádku MpCmdRun.exe, aby útočník mohl dešifrovat a spustit majáky. Toho se dosáhne tak, že systém oklame, aby upřednostnil a nahrál škodlivou knihovnu DLL (Dynamic-Link Library).

Spustitelný soubor MpCmdRun.exe používá program Windows Defender k vyhledávání malwaru, a tím chrání zařízení před škodlivými soubory a programy. Vzhledem k tomu, že Cobalt Strike dokáže obejít bezpečnostní opatření programu Windows Defender, stal se velmi užitečným pro ransomwarové útočníky.

Tato technika je také známá jako boční načítání a umožňuje zlomyslným stranám uchovávat nebo krást data z infikovaných zařízení.

Jak se vyhnout LockBit 3.0 Ransomware

LockBit 3.0 je stále větším problémem, zejména mezi většími organizacemi, které mají hromady dat, která lze šifrovat a exfiltrovat. je důležité zajistit, abyste se tomuto nebezpečnému druhu útoku vyhýbali.

Chcete-li to provést, měli byste se nejprve ujistit, že na všech svých účtech používáte supersilná hesla a dvoufaktorové ověřování. Tato přidaná vrstva zabezpečení může kyberzločincům výrazně ztížit útok na vás pomocí ransomwaru. Zvážit Ransomwarové útoky protokolu Remote Desktop Protocol, například. V takovém scénáři bude útočník vyhledávat na internetu zranitelná připojení RDP. Pokud je tedy vaše připojení chráněno heslem a používá 2FA, je mnohem méně pravděpodobné, že budete cíleni.

Kromě toho byste měli operační systémy a antivirové programy svých zařízení vždy aktualizovat. Aktualizace softwaru mohou být časově náročné a frustrující, ale existuje důvod, proč existují. Tyto aktualizace často obsahují opravy chyb a další funkce zabezpečení, aby byla vaše zařízení a data chráněna, takže nepropásněte příležitost aktualizovat svá zařízení.

Dalším důležitým opatřením, které je třeba učinit, abyste se nevyhnuli útokům ransomwaru, ale jejich následkům, je zálohování souborů. Útočníci ransomwaru někdy zadrží důležité informace, které potřebujete z různých důvodů, takže zálohování do určité míry zmírňuje rozsah poškození. Offline kopie, jako jsou ty uložené na USB klíčence, mohou být neocenitelné při krádeži nebo vymazání dat z vašeho zařízení.

Postinfekční opatření

I když vás výše uvedené návrhy mohou chránit před ransomware LockBit, stále existuje možnost infekce. Pokud tedy zjistíte, že váš počítač byl infikován LockBit 3.0, je důležité nejednat iracionálně. Existují kroky, které můžete podniknout odstranit ransomware z vašeho zařízení, kterou byste měli pečlivě a pečlivě dodržovat.

Měli byste také upozornit úřady, pokud jste se stali obětí ransomwarového útoku. To pomáhá příslušným stranám lépe porozumět a vypořádat se s daným kmenem ransomwaru.

Útoky LockBit 3.0 mohou pokračovat

Nikdo neví, kolikrát bude LockBit 3.0 ransomware použit k vyhrožování a zneužívání obětí. Proto je zásadní chránit svá zařízení a účty všemi možnými způsoby, aby vaše citlivá data zůstala v bezpečí.