Jeśli jesteś na bieżąco z zagrożeniami cyberbezpieczeństwa, prawdopodobnie wiesz, jak niebezpiecznie popularne stało się oprogramowanie ransomware. Ten rodzaj złośliwego oprogramowania stanowi ogromne zagrożenie zarówno dla osób fizycznych, jak i organizacji, a niektóre szczepy stają się obecnie najlepszym wyborem dla złośliwych podmiotów, w tym LockBit.
Czym więc jest LockBit, skąd się wziął i jak możesz się przed nim chronić?
Co to jest oprogramowanie ransomware LockBit?
Chociaż LockBit na początku był pojedynczym szczepem oprogramowania ransomware, od tego czasu ewoluował wiele razy, a najnowsza wersja znana jest jako „LockBit 3.0” (o której omówimy nieco później). LockBit obejmuje rodzinę programów ransomware, które działają przy użyciu Ransomware jako usługa (RaaS) Model.
Ransomware-as-a-Service to model biznesowy, w którym użytkownicy płacą za dostęp do określonego rodzaju oprogramowania ransomware, aby mogli go używać do własnych ataków. Dzięki temu użytkownicy stają się podmiotami stowarzyszonymi, a ich płatność może wiązać się z opłatą ryczałtową lub usługą opartą na abonamencie. Krótko mówiąc, twórcy LockBit znaleźli sposób na dalsze czerpanie zysków z jego używania, stosując ten model RaaS, a nawet mogą otrzymać część okupu płaconego przez ofiary.
Wiele innych programów ransomware można uzyskać za pośrednictwem modelu RaaS, w tym DarkSide i REvil. Oprócz nich LockBit jest jednym z najpopularniejszych obecnie używanych typów oprogramowania ransomware.
Biorąc pod uwagę, że LockBit należy do rodziny oprogramowania ransomware, jego użycie obejmuje szyfrowanie plików celu. Cyberprzestępcy infiltrują urządzenie ofiary w taki czy inny sposób, na przykład za pośrednictwem wiadomości e-mail phishingowej lub złośliwego załącznik, a następnie użyje LockBit do zaszyfrowania wszystkich plików na urządzeniu, aby były niedostępne dla użytkownik.
Gdy pliki ofiary zostaną zaszyfrowane, atakujący zażąda okupu w zamian za klucz deszyfrujący. Jeśli ofiara nie zastosuje się i nie zapłaci okupu, jest prawdopodobne, że atakujący sprzeda dane w ciemnej sieci dla zysku. W zależności od tego, jakie są dane, może to spowodować nieodwracalne szkody dla prywatności osoby lub organizacji, co może zwiększyć presję zapłacenia okupu.
Ale skąd wzięło się to bardzo niebezpieczne oprogramowanie ransomware?
Początki oprogramowania ransomware LockBit
Nie wiadomo dokładnie, kiedy LockBit został opracowany, ale jego uznana historia sięga 2019 roku, kiedy został po raz pierwszy znaleziony. Odkrycie to nastąpiło po pierwszej fali ataków LockBit, kiedy oprogramowanie ransomware zostało początkowo ukute jako „ABCD” w odniesieniu do nazwy rozszerzenia zaszyfrowanych plików wykorzystywanych podczas ataków. Ale kiedy atakujący zaczęli używać rozszerzenia pliku „.lockbit”, nazwa oprogramowania ransomware zmieniła się na dzisiejszą.
Popularność LockBit wzrosła po opracowaniu drugiej iteracji, LockBit 2.0. Pod koniec 2021 roku coraz częściej używano LockBit 2.0 przez podmioty stowarzyszone za ataki, a po zamknięciu innych gangów ransomware LockBit był w stanie wykorzystać lukę w rynek.
W rzeczywistości zwiększone wykorzystanie LockBit 2.0 ugruntowało jego pozycję jako „najbardziej wpływowego i szeroko stosowanego wariant oprogramowania ransomware, który zaobserwowaliśmy we wszystkich naruszeniach oprogramowania ransomware w pierwszym kwartale 2022 r.”, według a Raport Palo Alto. Ponadto Palo Alto stwierdził w tym samym raporcie, że operatorzy LockBit twierdzą, że mają najszybsze oprogramowanie szyfrujące spośród wszystkich aktualnie aktywnych programów ransomware.
Ransomware LockBit zostało zauważone w wielu krajach na całym świecie, w tym w Chinach, Stanach Zjednoczonych, Francji, Ukrainie, Wielkiej Brytanii i Indiach. Kilka dużych organizacji zostało również zaatakowanych przy użyciu LockBit, w tym Accenture, irlandzko-amerykańskiej firmy świadczącej profesjonalne usługi.
Accenture doznało naruszenia bezpieczeństwa danych w wyniku użycia LockBit w 2021 r., kiedy atakujący zażądali gigantycznego okupu w wysokości 50 milionów dolarów, przy czym zaszyfrowano ponad 6 TB danych. Accenture nie zgodził się na zapłacenie okupu, chociaż firma twierdziła, że atak nie dotknął żadnego klienta.
LockBit 3.0 i związane z nim zagrożenia
Wraz ze wzrostem popularności LockBit każda nowa iteracja jest poważnym problemem. Najnowsza wersja LockBit, znana jako LockBit 3.0, już stała się problemem, szczególnie w systemach operacyjnych Windows.
Latem 2022 r. LockBit 3.0 był służy do ładowania szkodliwych ładunków Cobalt Strike na docelowych urządzeniach dzięki wykorzystaniu programu Windows Defender. W tej fali ataków nadużyto pliku wykonywalnego wiersza poleceń znanego jako MpCmdRun.exe, dzięki czemu sygnały nawigacyjne Cobalt Strike mogą ominąć wykrywanie zabezpieczeń.
LockBit 3.0 został również wykorzystany do wykorzystania wiersza poleceń VMWare znanego jako VMwareXferlogs.exe, aby ponownie wdrożyć ładunki Cobalt Strike. Nie wiadomo, czy te ataki będą kontynuowane, czy też przekształcą się w coś zupełnie innego.
Oczywiste jest, że oprogramowanie ransomware LockBit stanowi wysokie ryzyko, tak jak w przypadku wielu programów ransomware. Jak więc zapewnić sobie bezpieczeństwo?
Jak chronić się przed oprogramowaniem ransomware LockBit?
Biorąc pod uwagę, że oprogramowanie ransomware LockBit musi najpierw znajdować się na Twoim urządzeniu, aby zaszyfrować pliki, musisz spróbować odciąć je u źródła i całkowicie zapobiec infekcji. Chociaż trudno jest zagwarantować ochronę przed oprogramowaniem ransomware, możesz zrobić wiele, aby jak najlepiej unikać.
Po pierwsze, ważne jest, aby nigdy nie pobierać żadnych plików ani programów z witryn, które nie są całkowicie legalne. Pobranie dowolnego rodzaju niezweryfikowanego pliku na urządzenie może zapewnić osobie atakującej oprogramowanie ransomware łatwy dostęp do Twoich plików. Upewnij się, że do pobierania plików używasz tylko zaufanych i dobrze sprawdzonych witryn lub oficjalnych sklepów z aplikacjami do instalacji oprogramowania.
Innym czynnikiem, na który należy zwrócić uwagę, jest to, że oprogramowanie ransomware LockBit jest często rozprzestrzeniać się za pośrednictwem protokołu RDP (Remote Desktop Protocol). Jeśli nie korzystasz z tej technologii, nie musisz się martwić o ten wskaźnik. Jeśli jednak to zrobisz, ważne jest, aby zabezpieczyć sieć RDP za pomocą ochrony hasłem, sieci VPN i dezaktywacji protokołu, gdy nie jest on bezpośrednio używany. Operatorzy ransomware często skanują Internet w poszukiwaniu podatnych na ataki połączeń RDP, więc dodanie dodatkowych warstw ochrony sprawi, że Twoja sieć RDP będzie mniej podatna na ataki.
Ransomware może być również rozprzestrzeniane za pośrednictwem phishingu, niezwykle popularnego trybu infekcji i kradzieży danych wykorzystywanego przez złośliwych cyberprzestępców. Phishing jest najczęściej wdrażany za pośrednictwem wiadomości e-mail, w których atakujący dołącza złośliwy link do treści wiadomości e-mail, który przekona ofiarę do kliknięcia. Ten link prowadzi do złośliwej witryny, która może ułatwić infekcję złośliwym oprogramowaniem.
Unikanie phishingu można osiągnąć na wiele sposobów, w tym za pomocą funkcji antyspamowych w wiadomościach e-mail, strony internetowe sprawdzające linkioraz oprogramowanie antywirusowe. Należy również zweryfikować adres nadawcy każdej nowej wiadomości e-mail i wyszukać literówki w wiadomościach e-mail (ponieważ fałszywe wiadomości e-mail są często pełne błędów ortograficznych i gramatycznych).
LockBit nadal jest globalnym zagrożeniem
LockBit nadal ewoluuje i atakuje coraz więcej ofiar: to oprogramowanie ransomware nigdzie się nie pojawi w najbliższym czasie. Aby chronić się przed LockBit i oprogramowaniem ransomware, rozważ niektóre z powyższych wskazówek. Chociaż możesz myśleć, że nigdy nie staniesz się celem, zawsze rozsądnie jest podjąć niezbędne środki ostrożności.
