Ha naprakész a kiberbiztonsági fenyegetésekkel kapcsolatban, valószínűleg tisztában van azzal, hogy milyen veszélyesen népszerűvé vált a ransomware. Ez a fajta rosszindulatú program óriási fenyegetést jelent az egyénekre és a szervezetekre egyaránt, és bizonyos törzsek mára a rosszindulatú szereplők első számú választásává válnak, köztük a LockBit.
Tehát mi az a LockBit, honnan származik, és hogyan védekezhet ellene?
Mi az a LockBit Ransomware?
Míg a LockBit a zsarolóvírusok egyetlen törzseként indult, azóta többször is fejlődött, a legújabb verzió „LockBit 3.0” néven ismert (amiről egy kicsit később fogunk beszélni). A LockBit olyan zsarolóprogramok családját öleli fel, amelyek a Ransomware-as-a-Service (RaaS) modell.
A Ransomware-as-a-Service egy olyan üzleti modell, amelyben a felhasználók fizetnek egy adott típusú zsarolóprogramhoz való hozzáférésért, hogy saját támadásaikhoz felhasználhassák. Ezáltal a felhasználók leányvállalatokká válnak, fizetésük átalánydíjjal vagy előfizetéses szolgáltatással járhat. Röviden: a LockBit készítői megtalálták a módját, hogy a RaaS-modell használatával további profitot szerezzenek a használatából, és még az áldozatok által fizetett váltságdíjból is részesülhetnek.
A RaaS modellen keresztül számos más ransomware program is elérhető, köztük a DarkSide és a REvil. Ezek mellett a LockBit az egyik legnépszerűbb manapság használt ransomware típus.
Tekintettel arra, hogy a LockBit egy ransomware család, használata magában foglalja a cél fájljainak titkosítását. A kiberbűnözők ilyen vagy olyan módon behatolnak az áldozat eszközére, például adathalász e-mailen vagy rosszindulatúan. mellékletet, majd a LockBit segítségével titkosítja az eszközön lévő összes fájlt, hogy azok ne férhessenek hozzá felhasználó.
Miután az áldozat fájljait titkosították, a támadó váltságdíjat követel a visszafejtési kulcsért cserébe. Ha az áldozat nem tesz eleget és nem fizeti ki a váltságdíjat, akkor valószínű, hogy a támadó eladja az adatokat a sötét weben haszonszerzés céljából. Attól függően, hogy milyen adatokról van szó, ez visszafordíthatatlan károkat okozhat az egyén vagy a szervezet magánéletében, ami növelheti a váltságdíj kifizetésének nyomását.
De honnan jött ez a rendkívül veszélyes zsarolóprogram?
A LockBit Ransomware eredete
Nem ismert, hogy pontosan mikor fejlesztették ki a LockBit-et, de elismert története egészen 2019-ig nyúlik vissza, amikor először találták meg. Ez a felfedezés a LockBit első támadási hulláma után történt, amikor a ransomware-t a támadások során kihasznált titkosított fájlok kiterjesztésének nevére hivatkozva eredetileg ABCD-nek nevezték. Amikor azonban a támadók a „.lockbit” kiterjesztést kezdték használni, a zsarolóprogram neve a maira változott.
A LockBit népszerűsége a második iteráció, a LockBit 2.0 kifejlesztése után nőtt. 2021 végén egyre gyakrabban használták a LockBit 2.0-t a leányvállalatok által támadásokra, és más zsarolóprogram-bandák leállása után a LockBit kihasználta a piac.
Valójában a LockBit 2.0 fokozott használata megszilárdította a „leghatásosabb és legszélesebb körben elterjedt” pozícióját. 2022 első negyedévében az összes zsarolóprogram-sértésnél megfigyelt ransomware-változat" a Palo Alto jelentése. Ezen felül Palo Alto ugyanebben a jelentésben kijelentette, hogy a LockBit üzemeltetői azt állítják, hogy a jelenleg aktív zsarolóvírusok közül a leggyorsabb titkosító szoftverrel rendelkeznek.
A LockBit ransomware-t a világ számos országában észlelték, köztük Kínában, az Egyesült Államokban, Franciaországban, Ukrajnában, az Egyesült Királyságban és Indiában. Számos nagy szervezetet is célba vettek a LockBit segítségével, köztük az Accenture-t, egy ír-amerikai professzionális szolgáltató céget.
Az Accenture adatszivárgást szenvedett a LockBit használata miatt 2021-ben, a támadók óriási, 50 millió dolláros váltságdíjat követeltek, és több mint 6 TB adatot titkosítottak. Az Accenture nem vállalta, hogy kifizesse ezt a váltságdíjat, bár a vállalat azt állította, hogy a támadás egyetlen ügyfelet sem érintett.
LockBit 3.0 és kockázatai
A LockBit népszerűségének növekedésével minden új iteráció komoly aggodalomra ad okot. A LockBit legújabb, LockBit 3.0 néven ismert verziója máris problémát jelent, különösen a Windows operációs rendszereken belül.
2022 nyarán megjelent a LockBit 3.0 káros Cobalt Strike rakományok betöltésére használják céleszközökön a Windows Defender kihasználásával. Ebben a támadási hullámban visszaéltek az MpCmdRun.exe néven ismert végrehajtható parancssori fájllal, így a Cobalt Strike jeladók megkerülhetik a biztonsági észlelést.
A LockBit 3.0-t a VMwareXferlogs.exe néven ismert VMWare parancssor kiaknázására is használták a Cobalt Strike hasznos terhelések ismételt üzembe helyezésére. Nem tudni, hogy ezek a támadások folytatódnak-e, vagy valami egészen mássá fejlődnek.
Nyilvánvaló, hogy a LockBit ransomware nagy kockázatot jelent, mint sok zsarolóprogram esetében. Szóval, hogyan védheti meg magát?
Hogyan védheti meg magát a LockBit Ransomware ellen
Tekintettel arra, hogy a LockBit ransomware-nek először jelen kell lennie az eszközén a fájlok titkosításához, meg kell próbálnia levágni azt a forrásnál, és teljesen meg kell akadályoznia a fertőzést. Bár nehéz garantálni a ransomware elleni védelmet, sokat tehet azért, hogy a lehető legtöbbet elkerülje.
Először is elengedhetetlen, hogy soha ne töltsön le fájlokat vagy szoftvereket olyan webhelyekről, amelyek nem teljesen legitimek. Bármilyen nem ellenőrzött fájl letöltése az eszközre, a zsarolóvírus-támadó számára könnyű hozzáférést biztosíthat a fájlokhoz. Győződjön meg róla, hogy csak megbízható és jól áttekintett webhelyeket használ a letöltésekhez, vagy hivatalos alkalmazásboltokat a szoftvertelepítéshez.
Egy másik megjegyzendő tényező az, hogy a LockBit ransomware gyakran Távoli asztali protokollon (RDP) keresztül terjed. Ha nem használja ezt a technológiát, nem kell aggódnia a mutató miatt. Ha azonban mégis megteszi, fontos, hogy az RDP-hálózatot jelszavas védelemmel, VPN-ekkel és a protokoll inaktiválásával védje, ha az nincs közvetlenül használatban. A zsarolóprogram-üzemeltetők gyakran keresik az internetet sebezhető RDP-kapcsolatok után, így további védelmi rétegek hozzáadásával az RDP-hálózat kevésbé lesz kitéve a támadásoknak.
A zsarolóvírusok adathalászattal is terjedhetnek, amely a rosszindulatú szereplők által használt, hihetetlenül népszerű fertőzési és adatlopási mód. Az adathalászat leggyakrabban e-maileken keresztül történik, ahol a támadó egy rosszindulatú hivatkozást csatol az e-mail törzséhez, amelyre ráveszi az áldozatot, hogy rákattintson. Ez a hivatkozás egy rosszindulatú webhelyre vezet, amely elősegítheti a rosszindulatú programok fertőzését.
Az adathalászat elkerülése számos módon történhet, beleértve a levélszemét elleni e-mail funkciókat, link-ellenőrző weboldalakés víruskereső szoftver. Ezenkívül ellenőriznie kell minden új e-mail feladójának címét, és meg kell vizsgálnia az elírásokat az e-mailekben (mivel az átverő e-mailek gyakran tele vannak helyesírási és nyelvtani hibákkal).
A LockBit továbbra is globális fenyegetést jelent
A LockBit folyamatosan fejlődik, és egyre több áldozatot céloz meg: ez a zsarolóprogram nem fog egyhamar sehova menni. Annak érdekében, hogy megvédje magát a LockBittől és általában a ransomware-től, vegye figyelembe a fenti tippeket. Bár azt gondolhatja, hogy soha nem lesz célpontja, mindig bölcs dolog megtenni a szükséges óvintézkedéseket.
