Кражбите, изнудването, изнудването и представянето под чужда самоличност са широко разпространени онлайн, като всеки месец хиляди хора стават жертва на различни измами и атаки. Един такъв начин на атака използва вид рансъмуер, известен като LockBit 3.0. И така, откъде идва този ransomware, как се използва и какво можете да направите, за да се защитите?

Откъде идва LockBit 3.0?

LockBit 3.0 (известен също като LockBit Black) е разновидност на рансъмуер, произхождащ от фамилията LockBit рансъмуер. Това е група от рансъмуер програми, които бяха открити за първи път през септември 2019 г., след първата вълна от атаки. Първоначално LockBit беше наричан ".abcd вирус", но в този момент не беше известно, че Създателите и потребителите на LockBit ще продължат да създават нови итерации на оригиналния ransomware програма.

Фамилията от рансъмуер програми на LockBit се разпространява от само себе си, но само определени жертви са насочени – главно тези с възможността да платят голям откуп. Тези, които използват рансъмуер LockBit, често купуват достъп до протокола за отдалечен работен плот (RDP) в тъмната мрежа, така че да имат достъп до устройствата на жертвите от разстояние и по-лесно.

instagram viewer

Операторите на LockBit са се насочили към организации по целия свят от първото му използване, включително Обединеното кралство, САЩ, Украйна и Франция. Това семейство злонамерени програми използва Ransomware-as-a-Service (RaaS) модел, при който потребителите могат да плащат на операторите, за да имат достъп до даден вид ransomware. Това често включва някаква форма на абонамент. Понякога потребителите могат дори да проверяват статистиката, за да видят дали използването на LockBit рансъмуер е било успешно.

Едва през 2021 г. LockBit се превърна в преобладаващ вид рансъмуер чрез LockBit 2.0 (предшественик на настоящия щам). В този момент бандите, които са използвали този ransomware, решиха да приемете модела на двойното изнудване. Това включва както криптиране, така и ексфилтриране (или прехвърляне) на файлове на жертва към друго устройство. Този допълнителен метод на атака прави цялата ситуация още по-страшна за целевия индивид или организация.

Най-новият вид рансъмуер LockBit е идентифициран като LockBit 3.0. И така, как работи LockBit 3.0 и как се използва днес?

Какво е LockBit 3.0?

В края на пролетта на 2022 г. беше открита нова итерация на групата LockBit рансъмуер: LockBit 3.0. Като програма за рансъмуер, LockBit 3.0 може да криптира и ексфилтрирайте всички файлове на заразено устройство, позволявайки на нападателя да държи данните на жертвата като заложници, очевидно докато исканият откуп бъде изплатен платени. Този ransomware вече е активен в дивата природа и предизвиква много безпокойство.

Процесът на типична LockBit 3.0 атака е:

  1. LockBit 3.0 заразява устройството на жертвата, криптира файлове и добавя разширението на криптираните файлове като „HLjkNskOq“.
  2. След това е необходим ключ на аргумент на командния ред, известен като "-pass", за да се извърши криптирането.
  3. LockBit 3.0 създава различни нишки за изпълнение на множество задачи едновременно, така че криптирането на данните да може да бъде завършено за по-малко време.
  4. LockBit 3.0 изтрива определени услуги или функции, за да направи процеса на криптиране и ексфилтрация много по-лесен.
  5. API се използва за достъп до базата данни на мениджъра за контрол на услугата.
  6. Тапетът на работния плот на жертвата се променя, за да знае, че е атакуван.

Ако откупът не бъде платен от жертвата в необходимия период от време, нападателите на LockBit 3.0 ще продадат данните, които са откраднали в тъмната мрежа, на други киберпрестъпници. Това може да бъде катастрофално както за отделна жертва, така и за организация.

Към момента на писане LockBit 3.0 е най-забележителен за използване на Windows Defender за внедряване на Cobalt Strike, инструмент за тестване на проникване, който може да изпусне полезни товари. Този софтуер може също така да причини верига от инфекции със зловреден софтуер на множество устройства.

В този процес се използва инструментът за команден ред MpCmdRun.exe, така че атакуващият да може да дешифрира и стартира маяците. Това става чрез подвеждане на системата да приоритизира и зареди злонамерен DLL (Dynamic-Link Library).

Изпълнимият файл MpCmdRun.exe се използва от Windows Defender за сканиране за зловреден софтуер, като по този начин защитава устройството от вредни файлове и програми. Като се има предвид, че Cobalt Strike може да заобиколи мерките за сигурност на Windows Defender, той стана много полезен за нападателите на ransomware.

Тази техника е известна още като странично зареждане и позволява на злонамерени страни да крият или крадат данни от заразени устройства.

Как да избегнете рансъмуер LockBit 3.0

LockBit 3.0 предизвиква нарастваща загриженост, особено сред по-големите организации, които разполагат с купища данни, които могат да бъдат криптирани и ексфилтрирани. важно е да сте сигурни, че избягвате този опасен вид атака.

За да направите това, първо трябва да се уверите, че използвате супер силни пароли и двуфакторно удостоверяване на всичките си акаунти. Това допълнително ниво на сигурност може да направи много по-трудно за киберпрестъпниците да ви атакуват с помощта на рансъмуер. Обмисли Атаки с рансъмуер на протокола за отдалечен работен плот, например. При такъв сценарий нападателят ще сканира интернет за уязвими RDP връзки. Така че, ако връзката ви е защитена с парола и използва 2FA, е много по-малко вероятно да бъдете насочени.

Освен това винаги трябва да поддържате операционните системи и антивирусните програми на вашите устройства актуални. Актуализациите на софтуера могат да отнемат време и да са разочароващи, но има причина да съществуват. Такива актуализации често идват с корекции на грешки и допълнителни функции за сигурност, за да поддържате устройствата и данните си защитени, така че не пропускайте възможността да актуализирате устройствата си.

Друга важна мярка, която трябва да предприемете не за избягване на атаки на ransomware, а за техните последствия, е архивирането на файлове. Понякога нападателите на ransomware ще задържат важна информация, от която се нуждаете по различни причини, така че наличието на резервно копие намалява до известна степен степента на щетите. Офлайн копията, като тези, съхранявани на USB памет, могат да бъдат безценни, когато данните бъдат откраднати или изтрити от вашето устройство.

Мерки след инфекция

Въпреки че горните предложения могат да ви защитят срещу рансъмуер LockBit, все още има шанс за заразяване. Така че, ако откриете, че компютърът ви е заразен от LockBit 3.0, важно е да не действате нерационално. Има стъпки, които можете да предприемете премахнете ransomware от вашето устройство, които трябва да следвате отблизо и внимателно.

Трябва също така да предупредите властите, ако сте станали жертва на атака с ransomware. Това помага на съответните страни да разберат по-добре и да се справят с даден вид ransomware.

Атаките на LockBit 3.0 може да продължат

Никой не знае още колко пъти рансъмуерът LockBit 3.0 ще бъде използван за заплаха и експлоатация на жертвите. Ето защо е изключително важно да защитите вашите устройства и акаунти по всякакъв възможен начин, така че вашите чувствителни данни да останат в безопасност.