Furtul, extorsiunea, șantajul și uzurparea identității sunt răspândite online, mii de oameni fiind victime în fiecare lună a diferitelor escrocherii și atacuri. Un astfel de mod de atac folosește un fel de ransomware cunoscut sub numele de LockBit 3.0. Deci, de unde a venit acest ransomware, cum este folosit și ce puteți face pentru a vă proteja?

De unde a apărut LockBit 3.0?

LockBit 3.0 (cunoscut și ca LockBit Black) este o tulpină de ransomware care provine din familia de ransomware LockBit. Acesta este un grup de programe ransomware care a fost descoperit pentru prima dată în septembrie 2019, după ce a avut loc primul val de atacuri. Inițial, LockBit a fost denumit „virusul .abcd”, dar la acel moment nu se știa că Creatorii și utilizatorii LockBit vor continua să creeze noi iterații ale ransomware-ului original program.

Familia de programe ransomware LockBit se răspândește singur, dar sunt vizate doar anumite victime, în principal cele care au capacitatea de a plăti o răscumpărare mare. Cei care folosesc ransomware LockBit achiziționează adesea acces Remote Desktop Protocol (RDP) pe dark web, astfel încât să poată accesa dispozitivele victimelor de la distanță și mai ușor.

instagram viewer

Operatorii LockBit au vizat organizații din întreaga lume încă de la prima utilizare, inclusiv Marea Britanie, SUA, Ucraina și Franța. Această familie de programe rău intenționate utilizează Ransomware-as-a-Service (RaaS) model, în care utilizatorii pot plăti operatorii pentru a avea acces la un anumit tip de ransomware. Aceasta implică adesea o formă de abonament. Uneori, utilizatorii pot chiar să verifice statisticile pentru a vedea dacă utilizarea lor de ransomware LockBit a avut succes.

Abia în 2021, LockBit a devenit un tip răspândit de ransomware, prin LockBit 2.0 (predecesorul tulpinii actuale). În acest moment, bandele care au folosit acest ransomware au decis să o facă adopta modelul dublei extorcări. Aceasta implică atât criptarea, cât și exfiltrarea (sau transferul) fișierelor unei victime pe un alt dispozitiv. Această metodă suplimentară de atac face ca întreaga situație să fie și mai înfricoșătoare pentru persoana sau organizația vizată.

Cel mai recent tip de ransomware LockBit a fost identificat ca LockBit 3.0. Deci, cum funcționează LockBit 3.0 și cum este utilizat astăzi?

Ce este LockBit 3.0?

La sfârșitul primăverii 2022, a fost descoperită o nouă iterație a grupului de ransomware LockBit: LockBit 3.0. Ca program ransomware, LockBit 3.0 poate cripta și exfiltrați toate fișierele de pe un dispozitiv infectat, permițând atacatorului să țină ostatici datele victimei aparent până când răscumpărarea solicitată este plătit. Acest ransomware este acum activ în sălbăticie și provoacă multă îngrijorare.

Procesul unui atac tipic LockBit 3.0 este:

  1. LockBit 3.0 infectează dispozitivul unei victime, criptează fișierele și adaugă extensia fișierelor criptate ca „HLjkNskOq”.
  2. O cheie de argument din linia de comandă cunoscută sub numele de „-pass” este apoi necesară pentru a realiza criptarea.
  3. LockBit 3.0 creează diverse fire pentru a efectua mai multe sarcini simultan, astfel încât criptarea datelor să poată fi finalizată în mai puțin timp.
  4. LockBit 3.0 șterge anumite servicii sau caracteristici pentru a face procesul de criptare și exfiltrare mult mai ușor.
  5. Un API este utilizat pentru a asigura accesul la baza de date a managerului de control al serviciului.
  6. Imaginea de fundal de pe desktop a victimei este schimbată, astfel încât să știe că este atacată.

Dacă răscumpărarea nu este plătită de către victimă în intervalul de timp necesar, atacatorii LockBit 3.0 vor vinde apoi datele pe care le-au furat pe dark web altor criminali cibernetici. Acest lucru poate fi catastrofal atât pentru o victimă individuală, cât și pentru o organizație.

La momentul scrierii, LockBit 3.0 este cel mai remarcabil pentru exploatând Windows Defender pentru a implementa Cobalt Strike, un instrument de testare a pătrunderii care poate elimina încărcături utile. Acest software poate provoca, de asemenea, un lanț de infecții malware pe mai multe dispozitive.

În acest proces, instrumentul de linie de comandă MpCmdRun.exe este exploatat, astfel încât atacatorul să poată decripta și lansa balizele. Acest lucru se face prin păcălirea sistemului să prioritizeze și să încarce un DLL (Dynamic-Link Library) rău intenționat.

Fișierul executabil MpCmdRun.exe este utilizat de Windows Defender pentru a scana programe malware, protejând astfel dispozitivul de fișiere și programe dăunătoare. Având în vedere că Cobalt Strike poate ocoli măsurile de securitate Windows Defender, a devenit foarte util pentru atacatorii de ransomware.

Această tehnică este cunoscută și sub numele de încărcare laterală și permite părților rău intenționate să păstreze sau să fure date de pe dispozitivele infectate.

Cum să evitați LockBit 3.0 Ransomware

LockBit 3.0 este o preocupare din ce în ce mai mare, în special în rândul organizațiilor mai mari care au o mulțime de date care pot fi criptate și exfiltrate. este important să vă asigurați că evitați acest tip de atac periculos.

Pentru a face acest lucru, ar trebui să vă asigurați mai întâi că utilizați parole foarte puternice și autentificare cu doi factori pentru toate conturile dvs. Acest nivel suplimentar de securitate poate face mult mai greu pentru infractorii cibernetici să vă atace folosind ransomware. Considera Atacuri ransomware Remote Desktop Protocol, de exemplu. Într-un astfel de scenariu, atacatorul va scana internetul pentru conexiuni RDP vulnerabile. Deci, dacă conexiunea dvs. este protejată prin parolă și folosește 2FA, este mult mai puțin probabil să fiți vizat.

În plus, ar trebui să păstrați întotdeauna la zi sistemele de operare și programele antivirus ale dispozitivelor dvs. Actualizările de software pot fi consumatoare de timp și frustrante, dar există un motiv pentru care există. Astfel de actualizări vin adesea cu remedieri de erori și funcții de securitate suplimentare pentru a vă păstra dispozitivele și datele protejate, așa că nu ratați ocazia de a vă menține dispozitivele actualizate.

O altă măsură importantă de luat pentru a nu evita atacurile ransomware, ci consecințele acestora, este realizarea de copii de siguranță a fișierelor. Uneori, atacatorii ransomware vor reține informațiile esențiale de care aveți nevoie din diverse motive, astfel încât să aveți o copie de rezervă atenuează într-o oarecare măsură amploarea daunelor. Copiile offline, cum ar fi cele stocate pe un stick USB, pot fi de neprețuit atunci când datele sunt furate sau șterse de pe dispozitiv.

Măsuri post-infecție

Deși sugestiile de mai sus vă pot proteja împotriva ransomware-ului LockBit, există totuși o șansă de infecție. Deci, dacă descoperiți că computerul dvs. a fost infectat de LockBit 3.0, este important să nu acționați irațional. Există pași pe care îi puteți face eliminați ransomware-ul de pe dispozitiv, pe care ar trebui să-l urmăriți îndeaproape și cu atenție.

De asemenea, ar trebui să alertați autoritățile dacă ați căzut victima unui atac ransomware. Acest lucru ajută părțile relevante să înțeleagă și să abordeze mai bine o anumită tulpină de ransomware.

Atacurile LockBit 3.0 pot continua

Nimeni nu știe de câte ori va fi folosit ransomware-ul LockBit 3.0 pentru a amenința și exploata victimele. Acesta este motivul pentru care este esențial să vă protejați dispozitivele și conturile în toate modurile posibile, astfel încât datele dvs. sensibile să rămână în siguranță.