Η κλοπή, ο εκβιασμός, ο εκβιασμός και η πλαστοπροσωπία είναι διαδεδομένες στο διαδίκτυο, με χιλιάδες ανθρώπους να πέφτουν θύματα διαφόρων απατών και επιθέσεων κάθε μήνα. Ένας τέτοιος τρόπος επίθεσης χρησιμοποιεί ένα είδος ransomware γνωστό ως LockBit 3.0. Λοιπόν, από πού προήλθε αυτό το ransomware, πώς χρησιμοποιείται και τι μπορείτε να κάνετε για να προστατευθείτε;

Από πού προήλθε το LockBit 3.0;

Το LockBit 3.0 (γνωστό και ως LockBit Black) είναι ένα στέλεχος ransomware που προέρχεται από την οικογένεια ransomware LockBit. Πρόκειται για μια ομάδα προγραμμάτων ransomware που ανακαλύφθηκε για πρώτη φορά τον Σεπτέμβριο του 2019, μετά το πρώτο κύμα επιθέσεων. Αρχικά, το LockBit αναφερόταν ως "ιός .abcd", αλλά σε εκείνο το σημείο, δεν ήταν γνωστό ότι Οι δημιουργοί και οι χρήστες του LockBit θα συνεχίσουν να δημιουργούν νέες επαναλήψεις του αρχικού ransomware πρόγραμμα.

Η οικογένεια προγραμμάτων ransomware του LockBit διαδίδεται από μόνο του, αλλά στοχεύονται μόνο ορισμένα θύματα—κυρίως εκείνα που έχουν τη δυνατότητα να πληρώσουν μεγάλα λύτρα. Όσοι χρησιμοποιούν LockBit ransomware αγοράζουν συχνά πρόσβαση στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) στον σκοτεινό ιστό, έτσι ώστε να έχουν πρόσβαση στις συσκευές των θυμάτων από απόσταση και πιο εύκολα.

instagram viewer

Οι φορείς εκμετάλλευσης του LockBit έχουν στοχεύσει οργανισμούς σε όλο τον κόσμο από την πρώτη του χρήση, συμπεριλαμβανομένων του Ηνωμένου Βασιλείου, των ΗΠΑ, της Ουκρανίας και της Γαλλίας. Αυτή η οικογένεια κακόβουλων προγραμμάτων χρησιμοποιεί το Ransomware-as-a-Service (RaaS) μοντέλο, όπου οι χρήστες μπορούν να πληρώσουν τους χειριστές για να έχουν πρόσβαση σε ένα συγκεκριμένο είδος ransomware. Αυτό συχνά περιλαμβάνει κάποια μορφή συνδρομής. Μερικές φορές, οι χρήστες μπορούν ακόμη και να ελέγξουν στατιστικά στοιχεία για να δουν εάν η χρήση του LockBit ransomware ήταν επιτυχής.

Μόλις το 2021 το LockBit έγινε ένα διαδεδομένο είδος ransomware, μέσω του LockBit 2.0 (το προκάτοχο του τρέχοντος στελέχους). Σε αυτό το σημείο, οι συμμορίες που χρησιμοποίησαν αυτό το ransomware αποφάσισαν να το κάνουν υιοθετήσει το μοντέλο του διπλού εκβιασμού. Αυτό περιλαμβάνει τόσο την κρυπτογράφηση όσο και την εξαγωγή (ή τη μεταφορά) των αρχείων ενός θύματος σε άλλη συσκευή. Αυτή η πρόσθετη μέθοδος επίθεσης κάνει την όλη κατάσταση ακόμα πιο τρομακτική για το άτομο ή τον οργανισμό που στοχεύει.

Το πιο πρόσφατο είδος LockBit ransomware έχει αναγνωριστεί ως LockBit 3.0. Λοιπόν, πώς λειτουργεί το LockBit 3.0 και πώς χρησιμοποιείται σήμερα;

Τι είναι το LockBit 3.0;

Στα τέλη της Άνοιξης του 2022, ανακαλύφθηκε μια νέα επανάληψη της ομάδας ransomware LockBit: LockBit 3.0. Ως πρόγραμμα ransomware, το LockBit 3.0 μπορεί να κρυπτογραφήσει και να διεισδύσει όλα τα αρχεία σε μια μολυσμένη συσκευή, επιτρέποντας στον εισβολέα να κρατήσει όμηρα τα δεδομένα του θύματος, προφανώς μέχρις ότου τα ζητούμενα λύτρα επί πληρωμή. Αυτό το ransomware είναι πλέον ενεργό στη φύση και προκαλεί μεγάλη ανησυχία.

Η διαδικασία μιας τυπικής επίθεσης LockBit 3.0 είναι:

  1. Το LockBit 3.0 μολύνει τη συσκευή του θύματος, κρυπτογραφεί αρχεία και προσαρτά την επέκταση των κρυπτογραφημένων αρχείων ως "HLjkNskOq".
  2. Στη συνέχεια απαιτείται ένα κλειδί ορίσματος γραμμής εντολών γνωστό ως "-pass" για να πραγματοποιηθεί η κρυπτογράφηση.
  3. Το LockBit 3.0 δημιουργεί διάφορα νήματα για την εκτέλεση πολλαπλών εργασιών ταυτόχρονα, έτσι ώστε η κρυπτογράφηση δεδομένων να μπορεί να ολοκληρωθεί σε λιγότερο χρόνο.
  4. Το LockBit 3.0 διαγράφει ορισμένες υπηρεσίες ή λειτουργίες για να κάνει τη διαδικασία κρυπτογράφησης και εξαγωγής πολύ πιο εύκολη.
  5. Ένα API χρησιμοποιείται για την πρόσβαση στη βάση δεδομένων του διαχειριστή ελέγχου υπηρεσίας.
  6. Η ταπετσαρία επιφάνειας εργασίας του θύματος αλλάζει, ώστε να γνωρίζει ότι δέχεται επίθεση.

Εάν τα λύτρα δεν πληρωθούν από το θύμα εντός του απαιτούμενου χρονικού διαστήματος, οι εισβολείς του LockBit 3.0 θα πουλήσουν τα δεδομένα που έχουν κλέψει στον σκοτεινό ιστό σε άλλους εγκληματίες του κυβερνοχώρου. Αυτό μπορεί να είναι καταστροφικό τόσο για ένα μεμονωμένο θύμα όσο και για έναν οργανισμό.

Τη στιγμή της γραφής, το LockBit 3.0 είναι πιο αξιοσημείωτο εκμετάλλευση του Windows Defender για την ανάπτυξη του Cobalt Strike, ένα εργαλείο δοκιμής διείσδυσης που μπορεί να ρίξει ωφέλιμα φορτία. Αυτό το λογισμικό μπορεί επίσης να προκαλέσει μια αλυσίδα μολύνσεων από κακόβουλο λογισμικό σε πολλές συσκευές.

Σε αυτή τη διαδικασία, το εργαλείο γραμμής εντολών MpCmdRun.exe γίνεται εκμετάλλευση έτσι ώστε ο εισβολέας να μπορεί να αποκρυπτογραφήσει και να εκκινήσει τα beacons. Αυτό γίνεται εξαπατώντας το σύστημα ώστε να δώσει προτεραιότητα και να φορτώσει ένα κακόβουλο DLL (Dynamic-Link Library).

Το εκτελέσιμο αρχείο MpCmdRun.exe χρησιμοποιείται από το Windows Defender για σάρωση για κακόβουλο λογισμικό, προστατεύοντας έτσι τη συσκευή από επιβλαβή αρχεία και προγράμματα. Δεδομένου ότι το Cobalt Strike μπορεί να παρακάμψει τα μέτρα ασφαλείας του Windows Defender, έχει γίνει πολύ χρήσιμο για εισβολείς ransomware.

Αυτή η τεχνική είναι επίσης γνωστή ως πλευρική φόρτωση και επιτρέπει σε κακόβουλα μέρη να αποθηκεύουν ή να κλέβουν δεδομένα από μολυσμένες συσκευές.

Πώς να αποφύγετε το LockBit 3.0 Ransomware

Το LockBit 3.0 είναι μια αυξανόμενη ανησυχία, ειδικά μεταξύ των μεγαλύτερων οργανισμών που διαθέτουν σωρούς δεδομένων που μπορούν να κρυπτογραφηθούν και να εξαχθούν. είναι σημαντικό να διασφαλίσετε ότι αποφεύγετε αυτό το επικίνδυνο είδος επίθεσης.

Για να το κάνετε αυτό, θα πρέπει πρώτα να βεβαιωθείτε ότι χρησιμοποιείτε εξαιρετικά ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς σας. Αυτό το πρόσθετο επίπεδο ασφάλειας μπορεί να κάνει πολύ πιο δύσκολο για τους εγκληματίες του κυβερνοχώρου να σας επιτεθούν χρησιμοποιώντας ransomware. Σκεφτείτε Επιθέσεις ransomware πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας, για παράδειγμα. Σε ένα τέτοιο σενάριο, ο εισβολέας θα σαρώσει το διαδίκτυο για ευάλωτες συνδέσεις RDP. Έτσι, εάν η σύνδεσή σας προστατεύεται με κωδικό πρόσβασης και χρησιμοποιεί 2FA, είναι πολύ λιγότερο πιθανό να στοχοποιηθείτε.

Επιπλέον, θα πρέπει να διατηρείτε πάντα ενημερωμένα τα λειτουργικά συστήματα και τα προγράμματα προστασίας από ιούς των συσκευών σας. Οι ενημερώσεις λογισμικού μπορεί να είναι χρονοβόρες και απογοητευτικές, αλλά υπάρχει ένας λόγος που υπάρχουν. Τέτοιες ενημερώσεις συνοδεύονται συχνά από διορθώσεις σφαλμάτων και πρόσθετες λειτουργίες ασφαλείας για την προστασία των συσκευών και των δεδομένων σας, επομένως μην χάνετε την ευκαιρία να διατηρείτε τις συσκευές σας ενημερωμένες.

Ένα άλλο σημαντικό μέτρο που πρέπει να λάβετε για να μην αποφύγετε επιθέσεις ransomware, αλλά τις συνέπειές τους, είναι η δημιουργία αντιγράφων ασφαλείας αρχείων. Μερικές φορές, οι εισβολείς ransomware θα αποκρύψουν κρίσιμες πληροφορίες που χρειάζεστε για διάφορους λόγους, επομένως η ύπαρξη αντιγράφου ασφαλείας μετριάζει την έκταση της ζημιάς σε κάποιο βαθμό. Τα αντίγραφα εκτός σύνδεσης, όπως αυτά που είναι αποθηκευμένα σε ένα USB stick, μπορεί να είναι ανεκτίμητης αξίας όταν κλαπούν ή διαγραφούν δεδομένα από τη συσκευή σας.

Μέτρα μετά τη μόλυνση

Ενώ οι παραπάνω προτάσεις μπορούν να σας προστατεύσουν από το LockBit ransomware, εξακολουθεί να υπάρχει πιθανότητα μόλυνσης. Επομένως, εάν διαπιστώσετε ότι ο υπολογιστής σας έχει μολυνθεί από το LockBit 3.0, είναι σημαντικό να μην ενεργείτε παράλογα. Υπάρχουν βήματα που μπορείτε να κάνετε αφαιρέστε ransomware από τη συσκευή σας, το οποίο θα πρέπει να παρακολουθείτε στενά και προσεκτικά.

Θα πρέπει επίσης να ειδοποιήσετε τις αρχές εάν έχετε πέσει θύμα επίθεσης ransomware. Αυτό βοηθά τα ενδιαφερόμενα μέρη να κατανοήσουν καλύτερα και να αντιμετωπίσουν ένα δεδομένο στέλεχος ransomware.

Οι επιθέσεις LockBit 3.0 ενδέχεται να συνεχιστούν

Κανείς δεν γνωρίζει πόσες φορές ακόμη θα χρησιμοποιηθεί το LockBit 3.0 ransomware για την απειλή και την εκμετάλλευση των θυμάτων. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να προστατεύετε τις συσκευές και τους λογαριασμούς σας με κάθε δυνατό τρόπο, ώστε τα ευαίσθητα δεδομένα σας να παραμένουν ασφαλή.