Ако сте в крак със заплахите за киберсигурността, вероятно сте наясно колко опасно популярен е станал ransomware. Този вид злонамерен софтуер е огромна заплаха както за хората, така и за организациите, като някои щамове вече се превръщат в най-добрия избор за злонамерени участници, включително LockBit.
И така, какво е LockBit, откъде идва и как можете да се предпазите от него?
Какво е LockBit рансъмуер?
Въпреки че LockBit започна като единичен щам рансъмуер, оттогава той се развива многократно, като последната версия е известна като „LockBit 3.0“ (която ще обсъдим малко по-късно). LockBit обхваща семейство от рансъмуер програми, които работят с помощта на Ransomware-as-a-Service (RaaS) модел.
Ransomware-as-a-Service е бизнес модел, който включва потребителите да плащат за достъп до даден вид рансъмуер, така че да могат да го използват за свои собствени атаки. Чрез това потребителите стават партньори и плащането им може да включва фиксирана такса или услуга, базирана на абонамент. Накратко, създателите на LockBit са намерили начин да спечелят допълнително от използването му, като използват този RaaS модел и дори могат да получат част от откупа, изплатен от жертвите.
Редица други ransomware програми могат да бъдат достъпни чрез модела RaaS, включително DarkSide и REvil. Наред с тях, LockBit е един от най-популярните видове ransomware, използвани днес.
Като се има предвид, че LockBit е семейство рансъмуер, използването му включва криптиране на файловете на целта. Киберпрестъпниците ще проникнат в устройството на жертвата по един или друг начин, може би чрез фишинг имейл или злонамерен прикачен файл и след това ще използва LockBit, за да шифрова всички файлове на устройството, така че да са недостъпни за потребител.
След като файловете на жертвата бъдат криптирани, нападателят ще поиска откуп в замяна на ключа за дешифриране. Ако жертвата не се съобрази и не плати откупа, вероятно нападателят ще продаде данните в тъмната мрежа за печалба. В зависимост от това какви са данните, това може да причини необратими щети на поверителността на дадено лице или организация, което може да увеличи натиска от плащането на откупа.
Но откъде идва този изключително опасен рансъмуер?
Произходът на LockBit Ransomware
Не е известно точно кога е разработен LockBit, но признатата му история се простира до 2019 г., когато е открит за първи път. Това откритие дойде след първата вълна от атаки на LockBit, когато рансъмуерът първоначално беше измислен „ABCD“ във връзка с името на разширението на криптираните файлове, използвани по време на атаки. Но когато нападателите започнаха да използват файловото разширение „.lockbit“ вместо това, името на ransomware се промени на това, което е днес.
Популярността на LockBit нарасна след разработването на втората му итерация, LockBit 2.0. В края на 2021 г. LockBit 2.0 се използва все по-често от филиали за атаки и след затварянето на други банди за рансъмуер, LockBit успя да се възползва от празнината в пазар.
Всъщност увеличеното използване на LockBit 2.0 затвърди позицията му на „най-въздействащия и широко разпространен вариант на рансъмуер, който сме наблюдавали при всички пробиви на рансъмуер през първото тримесечие на 2022 г.“, според а Доклад от Пало Алто. На всичкото отгоре Пало Алто заяви в същия доклад, че операторите на LockBit твърдят, че имат най-бързия софтуер за криптиране от всички активни в момента ransomware.
Рансъмуерът LockBit е забелязан в множество нации по света, включително Китай, САЩ, Франция, Украйна, Обединеното кралство и Индия. Редица големи организации също бяха атакувани чрез LockBit, включително Accenture, ирландско-американска компания за професионални услуги.
Accenture претърпя нарушение на данните в резултат на използването на LockBit през 2021 г., като нападателите поискаха огромен откуп от 50 милиона долара, като над 6TB данни бяха криптирани. Accenture не се съгласи да плати този откуп, въпреки че компанията твърди, че нито един клиент не е бил засегнат от атаката.
LockBit 3.0 и неговите рискове
Тъй като популярността на LockBit нараства, всяка нова итерация е сериозен проблем. Последната версия на LockBit, известна като LockBit 3.0, вече се превърна в проблем, особено в операционните системи Windows.
През лятото на 2022 г. беше LockBit 3.0 използвани за зареждане на вредни полезни товари Cobalt Strike на целеви устройства чрез използването на Windows Defender. В тази вълна от атаки беше злоупотребен с изпълним файл от командния ред, известен като MpCmdRun.exe, така че маяците Cobalt Strike да могат да заобиколят откриването на сигурността.
LockBit 3.0 също е използван при експлоатацията на команден ред на VMWare, известен като VMwareXferlogs.exe, за отново разгръщане на Cobalt Strike полезни натоварвания. Не се знае дали тези атаки ще продължат или ще се превърнат в нещо съвсем друго.
Очевидно е, че рансъмуерът LockBit е висок риск, какъвто е случаят с много програми за откуп. И така, как можете да се предпазите?
Как да се предпазите от рансъмуер LockBit
Като се има предвид, че рансъмуерът LockBit първо трябва да присъства на вашето устройство, за да шифрова файловете, трябва да опитате да го отрежете при източника и да предотвратите напълно инфекцията. Въпреки че е трудно да гарантирате защитата си срещу ransomware, има много неща, които можете да направите, за да се предпазите възможно най-много.
Първо, важно е никога да не изтегляте файлове или софтуерни програми от сайтове, които не са напълно легитимни. Изтеглянето на какъвто и да е вид непотвърден файл на вашето устройство може да даде лесен достъп на атакуващ ransomware до вашите файлове. Уверете се, че използвате само надеждни и добре прегледани сайтове за вашите изтегляния или официални магазини за приложения за инсталиране на софтуер.
Друг фактор, който трябва да се отбележи, е, че рансъмуерът LockBit често е разпространение чрез протокол за отдалечен работен плот (RDP). Ако не използвате тази технология, не е нужно да се притеснявате за този показалец. Въпреки това, ако го направите, важно е да защитите вашата RDP мрежа чрез защита с парола, VPN и деактивиране на протокола, когато не се използва директно. Операторите на рансъмуер често сканират интернет за уязвими RDP връзки, така че добавянето на допълнителни слоеве на защита ще направи вашата RDP мрежа по-малко податлива на атаки.
Рансъмуерът може да се разпространява и чрез фишинг, невероятно популярен начин на заразяване и кражба на данни, използван от злонамерени участници. Фишингът най-често се внедрява чрез имейли, при които нападателят ще прикачи злонамерена връзка към тялото на имейла, върху която ще убеди жертвата да кликне. Тази връзка ще доведе до злонамерен уебсайт, който може да улесни заразяването със зловреден софтуер.
Избягването на фишинг може да стане по много начини, включително използването на имейл функции за защита от спам, уебсайтове за проверка на връзки, и антивирусен софтуер. Трябва също така да проверите адреса на подателя на всеки нов имейл и да сканирате за правописни грешки в имейлите (тъй като измамническите имейли често са пълни с правописни и граматически грешки).
LockBit продължава да бъде глобална заплаха
LockBit продължава да се развива и да се насочва към все повече и повече жертви: този ransomware няма да отиде никъде скоро. За да се предпазите от LockBit и ransomware като цяло, вземете предвид някои от съветите по-горе. Въпреки че може да мислите, че никога няма да станете мишена, винаги е разумно да вземете необходимите предпазни мерки.
