A lopás, a zsarolás, a zsarolás és a mások személyi adataival való visszaélés elterjedt az interneten, havonta emberek ezrei esnek áldozatul különféle csalásoknak és támadásoknak. Az egyik ilyen támadási mód a LockBit 3.0 néven ismert ransomware-t használ. Szóval, honnan származik ez a zsarolóprogram, hogyan használják, és mit tehetsz önmagad védelméért?

Honnan jött a LockBit 3.0?

A LockBit 3.0 (más néven LockBit Black) a LockBit ransomware családból származó zsarolóvírus-törzs. Ez a zsarolóprogramok egy csoportja, amelyet először 2019 szeptemberében fedeztek fel, az első támadási hullám után. Kezdetben a LockBit-et ".abcd vírusként" emlegették, de akkor még nem tudták, hogy A LockBit alkotói és felhasználói továbbra is az eredeti zsarolóvírus új iterációinak létrehozását folytatnák program.

A LockBit zsarolóprogram-családja önmagától terjed, de csak bizonyos áldozatok célpontjai – főként azok, akik képesek nagy váltságdíjat fizetni. A LockBit ransomware-t használók gyakran vásárolnak távoli asztali protokoll (RDP) hozzáférést a sötét weben, hogy távolról és könnyebben hozzáférhessenek az áldozatok eszközeihez.

instagram viewer

A LockBit üzemeltetői az első használat óta a világ különböző szervezeteit célozták meg, beleértve az Egyesült Királyságot, az Egyesült Államokat, Ukrajnát és Franciaországot. Ez a rosszindulatú programcsalád a Ransomware-as-a-Service (RaaS) modell, amelyben a felhasználók fizethetnek a szolgáltatóknak azért, hogy hozzáférjenek egy adott típusú zsarolóprogramhoz. Ez gyakran magában foglal valamilyen előfizetést. Néha a felhasználók még a statisztikákat is ellenőrizhetik, hogy megnézzék, sikeres volt-e a LockBit ransomware használata.

A LockBit csak 2021-ben vált a zsarolóvírusok elterjedt fajtájává a LockBit 2.0 (a jelenlegi törzs elődje) révén. Ezen a ponton a bandák, akik ezt a zsarolóprogramot használták, úgy döntöttek alkalmazza a kettős zsarolás modelljét. Ez magában foglalja az áldozat fájljainak titkosítását és kiszűrését (vagy átvitelét) egy másik eszközre. Ez a további támadási módszer még ijesztőbbé teszi az egész helyzetet a megcélzott személy vagy szervezet számára.

A LockBit ransomware legújabb fajtája a LockBit 3.0. Tehát hogyan működik a LockBit 3.0, és hogyan használják ma?

Mi az a LockBit 3.0?

2022 késő tavaszán felfedezték a LockBit ransomware csoport új iterációját: a LockBit 3.0-t. A LockBit 3.0 zsarolóprogramként képes titkosítani és kiszűrni az összes fájlt a fertőzött eszközön, lehetővé téve a támadó számára, hogy látszólag túszul tartsa az áldozat adatait a kért váltságdíjig fizetett. Ez a ransomware jelenleg aktív a vadonban, és sok aggodalomra ad okot.

Egy tipikus LockBit 3.0 támadás folyamata a következő:

  1. A LockBit 3.0 megfertőzi az áldozat eszközét, titkosítja a fájlokat, és hozzáfűzi a titkosított fájlok kiterjesztését „HLjkNskOq”-ként.
  2. A titkosítás végrehajtásához szükség van egy „-pass” néven ismert parancssori argumentumkulcsra.
  3. A LockBit 3.0 különféle szálakat hoz létre több feladat egyidejű végrehajtásához, így az adattitkosítás rövidebb idő alatt befejeződik.
  4. A LockBit 3.0 töröl bizonyos szolgáltatásokat vagy szolgáltatásokat, hogy sokkal könnyebbé tegye a titkosítási és kiszűrési folyamatot.
  5. Egy API-t használnak a szolgáltatásvezérlő-kezelő adatbázis-hozzáférésének biztosítására.
  6. Az áldozat asztali háttérképe megváltozik, hogy tudja, hogy támadás alatt áll.

Ha az áldozat nem fizeti ki a váltságdíjat a szükséges időn belül, a LockBit 3.0 támadói ezután eladják a sötét weben ellopott adatokat más kiberbűnözőknek. Ez katasztrofális lehet mind az egyéni áldozat, mind a szervezet számára.

A cikk írásakor a LockBit 3.0 a leginkább figyelemre méltó a Windows Defender kihasználása a Cobalt Strike telepítésére, egy behatolást vizsgáló eszköz, amely képes leadni a hasznos terheket. Ez a szoftver a rosszindulatú programok fertőzéseinek láncolatát is okozhatja több eszközön.

Ebben a folyamatban az MpCmdRun.exe parancssori eszközt használják ki, így a támadó visszafejtheti és elindíthatja a jeladókat. Ez úgy történik, hogy ráveszik a rendszert, hogy rangsoroljon és betölt egy rosszindulatú DLL-t (Dynamic-Link Library).

Az MpCmdRun.exe végrehajtható fájlt a Windows Defender a rosszindulatú programok keresésére használja, így védi az eszközt a káros fájloktól és programoktól. Tekintettel arra, hogy a Cobalt Strike képes megkerülni a Windows Defender biztonsági intézkedéseit, nagyon hasznossá vált a ransomware támadók számára.

Ezt a technikát oldalbetöltésnek is nevezik, és lehetővé teszi a rosszindulatú felek számára, hogy adatokat tároljanak vagy ellopjanak a fertőzött eszközökről.

Hogyan kerüljük el a LockBit 3.0 Ransomware-t

A LockBit 3.0 egyre nagyobb aggodalomra ad okot, különösen a nagyobb szervezetek körében, amelyek titkosítható és kiszűrhető adathalmokkal rendelkeznek. fontos, hogy elkerülje ezt a veszélyes támadást.

Ehhez először meg kell győződnie arról, hogy szupererős jelszavakat és kéttényezős hitelesítést használ az összes fiókjában. Ez a hozzáadott biztonsági réteg sokkal nehezebbé teheti a kiberbűnözők számára, hogy megtámadják Önt zsarolóvírusok segítségével. Fontolgat Remote Desktop Protocol ransomware támadások, például. Ebben az esetben a támadó megkeresi az internetet sebezhető RDP-kapcsolatokért. Tehát, ha a kapcsolat jelszóval védett, és 2FA-t használ, sokkal kisebb az esélye annak, hogy Önt célozzák.

Ezenkívül mindig naprakészen kell tartania eszközei operációs rendszerét és víruskereső programjait. A szoftverfrissítések időigényesek és frusztrálóak lehetnek, de oka van annak, hogy léteznek. Az ilyen frissítések gyakran hibajavításokat és extra biztonsági funkciókat tartalmaznak az eszközök és az adatok védelme érdekében, ezért ne hagyja ki az eszköz frissítésének lehetőségét.

Egy másik fontos intézkedés a ransomware támadások, de azok következményei elkerülése érdekében, a fájlok biztonsági mentése. Néha a zsarolóprogram-támadók különböző okokból visszatartanak olyan fontos információkat, amelyekre Önnek szüksége van, így a biztonsági mentés bizonyos mértékig csökkenti a kár mértékét. Az offline másolatok, például az USB-meghajtón tároltak, felbecsülhetetlen értékűek lehetnek, ha adatokat lopnak el vagy törölnek az eszközről.

Intézkedések a fertőzés után

Bár a fenti javaslatok megvédhetik Önt a LockBit ransomware ellen, továbbra is fennáll a fertőzés lehetősége. Tehát, ha úgy találja, hogy számítógépét megfertőzte a LockBit 3.0, fontos, hogy ne cselekedjen irracionálisan. Vannak lépések, amelyeket megtehet távolítsa el a ransomware-t az eszközről, amelyet szigorúan és figyelmesen kell követnie.

Figyelmeztetnie kell a hatóságokat is, ha ransomware támadás áldozata lett. Ez segít az érintett feleknek abban, hogy jobban megértsék és leküzdjék a zsarolóprogramok adott fajtáját.

A LockBit 3.0 támadásai folytatódhatnak

Senki sem tudja, hányszor fogják még felhasználni a LockBit 3.0 ransomware-t az áldozatok megfenyegetésére és kihasználására. Éppen ezért kulcsfontosságú, hogy minden lehetséges módon védje eszközeit és fiókjait, hogy bizalmas adatai biztonságban maradjanak.