Pokud udržujete aktuální informace o hrozbách kybernetické bezpečnosti, pravděpodobně si uvědomujete, jak nebezpečně populární se ransomware stal. Tento druh malwaru je obrovskou hrozbou pro jednotlivce i organizace, přičemž určité kmeny se nyní stávají nejlepší volbou pro zlomyslné aktéry, včetně LockBit.
Co je tedy LockBit, odkud pochází a jak se před ním můžete chránit?
Co je LockBit Ransomware?
Zatímco LockBit začal jako jediný kmen ransomwaru, od té doby se několikrát vyvíjel, přičemž nejnovější verze je známá jako „LockBit 3.0“ (o čemž budeme hovořit o něco později). LockBit zahrnuje rodinu ransomwarových programů, které fungují pomocí Ransomware-as-a-Service (RaaS) Modelka.
Ransomware-as-a-Service je obchodní model, který zahrnuje uživatele platící za přístup k danému druhu ransomwaru, aby jej mohli použít pro své vlastní útoky. Díky tomu se uživatelé stávají přidruženými společnostmi a jejich platba může zahrnovat paušální poplatek nebo službu založenou na předplatném. Stručně řečeno, tvůrci LockBit našli způsob, jak dále profitovat z jeho používání použitím tohoto modelu RaaS, a mohou dokonce obdržet část výkupného, které platí oběti.
Prostřednictvím modelu RaaS lze přistupovat k řadě dalších ransomwarových programů, včetně DarkSide a REvil. Vedle nich je LockBit jedním z nejpopulárnějších typů ransomwaru, které se dnes používají.
Vzhledem k tomu, že LockBit je rodina ransomwaru, jeho použití zahrnuje šifrování souborů cíle. Kyberzločinci tak či onak proniknou do zařízení oběti, třeba prostřednictvím phishingového e-mailu nebo škodlivého přílohu a poté pomocí LockBit zašifruje všechny soubory na zařízení tak, aby byly nepřístupné uživatel.
Jakmile budou soubory oběti zašifrovány, bude útočník požadovat výkupné výměnou za dešifrovací klíč. Pokud oběť nevyhoví a nezaplatí výkupné, je pravděpodobné, že útočník následně prodá data na dark webu za účelem zisku. V závislosti na tom, o jaká data se jedná, to může způsobit nevratné poškození soukromí jednotlivce nebo organizace, což může zvýšit tlak na zaplacení výkupného.
Odkud se ale tento vysoce nebezpečný ransomware vzal?
Původ LockBit Ransomware
Není přesně známo, kdy byl LockBit vyvinut, ale jeho uznávaná historie sahá až do roku 2019, kdy byl poprvé nalezen. Tento objev přišel po první vlně útoků LockBit, kdy byl ransomware původně vytvořen jako „ABCD“ v odkazu na název rozšíření šifrovaných souborů zneužitých během útoků. Když ale útočníci místo toho začali používat příponu „.lockbit“, název ransomwaru se změnil na dnešní.
Popularita LockBit vzrostla po vývoji jeho druhé iterace, LockBit 2.0. Na konci roku 2021 se stále více používal LockBit 2.0 od přidružených společností k útokům a po vypnutí dalších ransomwarových gangů dokázal LockBit využít mezery v trh.
Zvýšené používání LockBit 2.0 ve skutečnosti upevnilo jeho pozici jako „nejúčinnějšího a nejrozšířenějšího varianta ransomwaru, kterou jsme pozorovali u všech porušení ransomwaru během prvního čtvrtletí roku 2022, podle A Zpráva Palo Alto. Kromě toho Palo Alto ve stejné zprávě uvedl, že operátoři LockBit tvrdí, že mají nejrychlejší šifrovací software ze všech aktuálně aktivních ransomwarů.
Ransomware LockBit byl spatřen v mnoha zemích po celém světě, včetně Číny, USA, Francie, Ukrajiny, Spojeného království a Indie. Pomocí LockBit se také zaměřovalo na řadu velkých organizací, včetně Accenture, irsko-americké společnosti poskytující profesionální služby.
Accenture utrpělo porušení dat v důsledku používání LockBit v roce 2021, přičemž útočníci požadovali mamutí výkupné ve výši 50 milionů dolarů, přičemž bylo zašifrováno více než 6 TB dat. Společnost Accenture nesouhlasila s vyplacením tohoto výkupného, ačkoli společnost tvrdila, že útokem nebyli zasaženi žádní zákazníci.
LockBit 3.0 a jeho rizika
Jak se popularita LockBitu zvyšuje, každá nová iterace je vážným problémem. Nejnovější verze LockBit, známá jako LockBit 3.0, se již stala problémem, konkrétně v rámci operačních systémů Windows.
V létě 2022 byl LockBit 3.0 používá se k načítání škodlivých užitečných zatížení Cobalt Strike na cílových zařízeních prostřednictvím využití programu Windows Defender. V této vlně útoků byl zneužit spustitelný soubor příkazového řádku známý jako MpCmdRun.exe, takže majáky Cobalt Strike mohou obejít bezpečnostní detekci.
LockBit 3.0 byl také použit při využívání příkazového řádku VMWare známého jako VMwareXferlogs.exe k opětovnému nasazení dat Cobalt Strike. Není známo, zda tyto útoky budou pokračovat, nebo se vyvinou v něco úplně jiného.
Je evidentní, že LockBit ransomware představuje vysoké riziko, jako je tomu u mnoha ransomwarových programů. Jak se tedy můžete udržet v bezpečí?
Jak se chránit před LockBit Ransomware
Vzhledem k tomu, že ransomware LockBit musí být nejprve přítomen na vašem zařízení, aby bylo možné zašifrovat soubory, musíte se pokusit jej odříznout u zdroje a zabránit infekci. I když je obtížné zaručit vaši ochranu před ransomwarem, existuje mnoho, co můžete udělat, abyste se co nejvíce vyhnuli.
Za prvé, je nezbytné, abyste nikdy nestahovali žádné soubory nebo softwarové programy ze stránek, které nejsou zcela legitimní. Stažením jakéhokoli druhu neověřeného souboru do zařízení může útočník ransomwaru získat snadný přístup k vašim souborům. Ujistěte se, že pro stahování používáte pouze důvěryhodné a dobře zkontrolované weby nebo pro instalaci softwaru oficiální obchody s aplikacemi.
Dalším faktorem, který je třeba poznamenat, je, že ransomware LockBit je často šířeno prostřednictvím protokolu RDP (Remote Desktop Protocol). Pokud tuto technologii nepoužíváte, nemusíte se o tento ukazatel starat. Pokud to však uděláte, je důležité, abyste svou síť RDP zabezpečili pomocí ochrany heslem, sítí VPN a deaktivací protokolu, když se přímo nepoužívá. Operátoři ransomwaru často vyhledávají na internetu zranitelná připojení RDP, takže přidáním dalších vrstev ochrany bude vaše síť RDP méně náchylná k útokům.
Ransomware se také může šířit prostřednictvím phishingu, což je neuvěřitelně populární způsob infekce a krádeže dat, který používají zákeřní herci. Phishing se nejčastěji nasazuje prostřednictvím e-mailů, kdy útočník připojí k tělu e-mailu škodlivý odkaz, na který přesvědčí oběť, aby na něj klikla. Tento odkaz povede na škodlivý web, který může usnadnit infekci malwarem.
Vyhnout se phishingu lze mnoha způsoby, včetně použití funkcí proti nevyžádané poště, webové stránky pro kontrolu odkazůa antivirový software. Měli byste také ověřit adresu odesílatele každého nového e-mailu a vyhledat v e-mailech překlepy (protože podvodné e-maily jsou často plné pravopisných a gramatických chyb).
LockBit je i nadále globální hrozbou
LockBit se stále vyvíjí a zaměřuje se na stále více obětí: tento ransomware se v dohledné době nikam nedostane. Abyste se ochránili před LockBit a ransomwarem obecně, zvažte některé z výše uvedených tipů. I když si můžete myslet, že se nikdy nestanete cílem, je vždy rozumné přijmout nezbytná opatření.
