Dacă țineți la curent cu amenințările la adresa securității cibernetice, probabil că știți cât de periculos a devenit ransomware-ul popular. Acest tip de malware este o amenințare imensă atât pentru indivizi cât și pentru organizații, anumite tulpini devenind acum o alegere de top pentru actorii rău intenționați, inclusiv LockBit.
Deci, ce este LockBit, de unde a venit și cum vă puteți proteja de el?
Ce este LockBit Ransomware?
În timp ce LockBit a început ca o singură tulpină de ransomware, de atunci a evoluat de mai multe ori, cea mai recentă versiune fiind cunoscută sub numele de „LockBit 3.0” (despre care vom discuta puțin mai târziu). LockBit cuprinde o familie de programe ransomware, care funcționează folosind Ransomware-as-a-Service (RaaS) model.
Ransomware-as-a-Service este un model de afaceri care presupune ca utilizatorii să plătească pentru accesul la un anumit tip de ransomware, astfel încât să îl poată folosi pentru propriile lor atacuri. Prin aceasta, utilizatorii devin afiliați, iar plata lor poate implica o taxă fixă sau un serviciu pe bază de abonament. Pe scurt, creatorii LockBit au găsit o modalitate de a profita în continuare de pe urma utilizării acestuia prin utilizarea acestui model RaaS și pot primi chiar și o reducere din răscumpărarea plătită de victime.
O serie de alte programe ransomware pot fi accesate prin modelul RaaS, inclusiv DarkSide și REvil. Alături de acestea, LockBit este unul dintre cele mai populare tipuri de ransomware utilizate astăzi.
Având în vedere că LockBit este o familie de ransomware, utilizarea sa implică criptarea fișierelor unei ținte. Infractorii cibernetici se vor infiltra în dispozitivul unei victime într-un fel sau altul, poate printr-un e-mail de phishing sau rău intenționat. atașament și apoi va folosi LockBit pentru a cripta toate fișierele de pe dispozitiv, astfel încât acestea să fie inaccesibile pentru utilizator.
Odată ce fișierele victimei au fost criptate, atacatorul va cere apoi o răscumpărare în schimbul cheii de decriptare. Dacă victima nu se conformează și plătește răscumpărarea, este probabil ca atacatorul să vândă apoi datele de pe dark web pentru profit. În funcție de care sunt datele, acest lucru poate provoca daune ireversibile confidențialității unei persoane sau a unei organizații, ceea ce se poate adăuga la presiunea plății răscumpărării.
Dar de unde a venit acest ransomware extrem de periculos?
Originile LockBit Ransomware
Nu se știe exact când a fost dezvoltat LockBit, dar istoria sa recunoscută se întinde până în 2019, când a fost găsit pentru prima dată. Această descoperire a venit după primul val de atacuri al LockBit, când ransomware-ul a fost inițial inventat „ABCD” cu referire la numele extensiei fișierelor criptate exploatate în timpul atacurilor. Dar când atacatorii au început să folosească extensia de fișier „.lockbit” în schimb, numele ransomware-ului s-a schimbat în ceea ce este astăzi.
Popularitatea LockBit a crescut după dezvoltarea celei de-a doua iterații, LockBit 2.0. La sfârșitul anului 2021, LockBit 2.0 a fost din ce în ce mai folosit de către afiliați pentru atacuri și, după închiderea altor bande de ransomware, LockBit a putut profita de decalajul din piaţă.
De fapt, utilizarea crescută a LockBit 2.0 și-a consolidat poziția ca „cel mai de impact și cel mai desfășurat Varianta de ransomware pe care am observat-o în toate încălcările de ransomware din primul trimestru al anului 2022”, potrivit A Raportul Palo Alto. În plus, Palo Alto a declarat în același raport că operatorii LockBit pretind că au cel mai rapid software de criptare dintre orice ransomware activ în prezent.
Ransomware-ul LockBit a fost depistat în mai multe țări din întreaga lume, inclusiv China, SUA, Franța, Ucraina, Marea Britanie și India. Un număr de organizații mari au fost, de asemenea, vizate folosind LockBit, inclusiv Accenture, o companie irlandeză-americană de servicii profesionale.
Accenture a suferit o breșă de date ca urmare a utilizării LockBit în 2021, atacatorii cerând o răscumpărare uriașă de 50 de milioane de dolari, peste 6 TB de date fiind criptate. Accenture nu a fost de acord să plătească această răscumpărare, deși compania a susținut că niciun client nu a fost afectat de atac.
LockBit 3.0 și riscurile sale
Pe măsură ce popularitatea LockBit crește, fiecare nouă iterație este o preocupare serioasă. Cea mai recentă versiune de LockBit, cunoscută sub numele de LockBit 3.0, a devenit deja o problemă, în special în sistemele de operare Windows.
În vara anului 2022, LockBit 3.0 a fost folosit pentru a încărca încărcături utile Cobalt Strike dăunătoare pe dispozitivele vizate prin exploatarea Windows Defender. În acest val de atacuri, un fișier executabil de linie de comandă cunoscut sub numele de MpCmdRun.exe a fost abuzat, astfel încât balizele Cobalt Strike pot ocoli detectarea securității.
LockBit 3.0 a fost folosit și în exploatarea unei linii de comandă VMWare cunoscută sub numele de VMwareXferlogs.exe pentru a implementa încă o dată încărcăturile utile Cobalt Strike. Nu se știe dacă aceste atacuri vor continua sau vor evolua în cu totul altceva.
Este evident că LockBit ransomware este un risc ridicat, așa cum este cazul multor programe ransomware. Deci, cum te poți menține în siguranță?
Cum să vă protejați de LockBit Ransomware
Având în vedere că ransomware-ul LockBit trebuie să fie mai întâi prezent pe dispozitivul dvs. pentru a cripta fișierele, trebuie să încercați să îl opriți de la sursă și să preveniți complet infecția. Deși este dificil să vă garantați protecția împotriva ransomware-ului, puteți face multe pentru a vă îndepărta cât mai mult posibil.
În primul rând, este esențial să nu descărcați niciodată fișiere sau programe software de pe site-uri care nu sunt total legitime. Descărcarea oricărui tip de fișier neverificat pe dispozitivul dvs. poate oferi unui atacator ransomware acces ușor la fișierele dvs. Asigurați-vă că utilizați numai site-uri de încredere și bine revizuite pentru descărcări sau magazine oficiale de aplicații pentru instalarea software-ului.
Un alt factor de remarcat este că ransomware-ul LockBit este adesea răspândit prin Remote Desktop Protocol (RDP). Dacă nu utilizați această tehnologie, nu trebuie să vă faceți griji cu privire la acest indicator. Cu toate acestea, dacă o faceți, este important să vă asigurați rețeaua RDP utilizând protecția prin parolă, VPN-uri și dezactivând protocolul atunci când nu este utilizat direct. Operatorii de ransomware scanează adesea internetul pentru conexiuni RDP vulnerabile, astfel încât adăugarea unor straturi suplimentare de protecție va face rețeaua RDP mai puțin susceptibilă la atac.
Ransomware-ul poate fi răspândit și prin phishing, un mod incredibil de popular de infecție și furt de date folosit de actori rău intenționați. Phishing-ul este cel mai frecvent implementat prin e-mailuri, în care atacatorul va atașa un link rău intenționat la corpul e-mailului pe care îl va convinge pe victimă să facă clic. Acest link va duce la un site web rău intenționat care poate facilita infectarea cu malware.
Evitarea phishing-ului se poate face în mai multe moduri, inclusiv prin utilizarea funcțiilor de e-mail anti-spam, site-uri web de verificare a linkurilor, și software antivirus. De asemenea, ar trebui să verificați adresa expeditorului oricărui e-mail nou și să căutați greșeli de scriere în e-mail-uri (deoarece e-mailurile înșelătorii sunt adesea pline de greșeli de ortografie și gramaticale).
LockBit continuă să fie o amenințare globală
LockBit continuă să evolueze și să vizeze tot mai multe victime: acest ransomware nu va merge nicăieri în curând. Pentru a vă proteja de LockBit și de ransomware în general, luați în considerare câteva dintre sfaturile de mai sus. Deși s-ar putea să crezi că nu vei deveni niciodată o țintă, oricum este întotdeauna înțelept să iei măsurile de precauție necesare.
