Εάν ενημερώνεστε για τις απειλές για την ασφάλεια στον κυβερνοχώρο, πιθανότατα γνωρίζετε πόσο επικίνδυνα δημοφιλές έχει γίνει το ransomware. Αυτό το είδος κακόβουλου λογισμικού είναι μια τεράστια απειλή τόσο για άτομα όσο και για οργανισμούς, με ορισμένα στελέχη να αποτελούν πλέον κορυφαία επιλογή για κακόβουλους παράγοντες, συμπεριλαμβανομένου του LockBit.
Λοιπόν, τι είναι το LockBit, από πού προήλθε και πώς μπορείτε να προστατευθείτε από αυτό;
Τι είναι το LockBit Ransomware;
Ενώ το LockBit ξεκίνησε ως ένα ενιαίο στέλεχος ransomware, έκτοτε έχει εξελιχθεί πολλές φορές, με την πιο πρόσφατη έκδοση να είναι γνωστή ως "LockBit 3.0" (για την οποία θα συζητήσουμε λίγο αργότερα). Το LockBit εκτείνεται σε μια οικογένεια προγραμμάτων ransomware, τα οποία λειτουργούν χρησιμοποιώντας το Ransomware-as-a-service (RaaS) μοντέλο.
Το Ransomware-as-a-Service είναι ένα επιχειρηματικό μοντέλο που περιλαμβάνει τους χρήστες που πληρώνουν για πρόσβαση σε ένα συγκεκριμένο είδος ransomware, ώστε να μπορούν να το χρησιμοποιούν για τις δικές τους επιθέσεις. Μέσω αυτού, οι χρήστες γίνονται θυγατρικοί και η πληρωμή τους μπορεί να περιλαμβάνει ένα πάγιο τέλος ή μια υπηρεσία που βασίζεται σε συνδρομή. Εν ολίγοις, οι δημιουργοί του LockBit βρήκαν έναν τρόπο να επωφεληθούν περαιτέρω από τη χρήση του χρησιμοποιώντας αυτό το μοντέλο RaaS, και μπορούν ακόμη και να λάβουν ένα ποσό από τα λύτρα που πληρώνουν τα θύματα.
Μια σειρά από άλλα προγράμματα ransomware είναι προσβάσιμα μέσω του μοντέλου RaaS, συμπεριλαμβανομένων των DarkSide και REvil. Εκτός από αυτά, το LockBit είναι ένας από τους πιο δημοφιλείς τύπους ransomware που χρησιμοποιούνται σήμερα.
Δεδομένου ότι το LockBit είναι μια οικογένεια ransomware, η χρήση του περιλαμβάνει την κρυπτογράφηση των αρχείων ενός στόχου. Οι εγκληματίες του κυβερνοχώρου θα διεισδύσουν στη συσκευή ενός θύματος με τον ένα ή τον άλλο τρόπο, ίσως μέσω email ηλεκτρονικού ψαρέματος ή κακόβουλου συνημμένο και στη συνέχεια θα χρησιμοποιήσει το LockBit για να κρυπτογραφήσει όλα τα αρχεία της συσκευής έτσι ώστε να μην είναι προσβάσιμα από το χρήστης.
Μόλις κρυπτογραφηθούν τα αρχεία του θύματος, ο εισβολέας θα ζητήσει στη συνέχεια λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης. Εάν το θύμα δεν συμμορφωθεί και δεν πληρώσει τα λύτρα, είναι πιθανό ο εισβολέας να πουλήσει τα δεδομένα στο dark web για κέρδος. Ανάλογα με τα δεδομένα, αυτό μπορεί να προκαλέσει μη αναστρέψιμη ζημιά στο απόρρητο ενός ατόμου ή ενός οργανισμού, γεγονός που μπορεί να αυξήσει την πίεση της πληρωμής των λύτρων.
Αλλά από πού προήλθε αυτό το εξαιρετικά επικίνδυνο ransomware;
Η προέλευση του LockBit Ransomware
Δεν είναι γνωστό πότε ακριβώς αναπτύχθηκε το LockBit, αλλά η αναγνωρισμένη ιστορία του χρονολογείται από το 2019, όταν βρέθηκε για πρώτη φορά. Αυτή η ανακάλυψη ήρθε μετά το πρώτο κύμα επιθέσεων του LockBit, όταν το ransomware επινοήθηκε αρχικά "ABCD" σε σχέση με το όνομα επέκτασης των κρυπτογραφημένων αρχείων που εκμεταλλεύονται κατά τη διάρκεια επιθέσεων. Αλλά όταν οι εισβολείς άρχισαν να χρησιμοποιούν την επέκταση αρχείου ".lockbit", το όνομα του ransomware άλλαξε σε αυτό που είναι σήμερα.
Η δημοτικότητα του LockBit αυξήθηκε μετά την ανάπτυξη της δεύτερης επανάληψης του, του LockBit 2.0. Στα τέλη του 2021, το LockBit 2.0 χρησιμοποιήθηκε όλο και περισσότερο από θυγατρικές για επιθέσεις και, μετά τον τερματισμό λειτουργίας άλλων συμμοριών ransomware, το LockBit μπόρεσε να εκμεταλλευτεί το κενό στο αγορά.
Στην πραγματικότητα, η αυξημένη χρήση του LockBit 2.0 εδραίωσε τη θέση του ως «το πιο επιδραστικό και ευρέως διαδεδομένο Παραλλαγή ransomware που έχουμε παρατηρήσει σε όλες τις παραβιάσεις ransomware κατά το πρώτο τρίμηνο του 2022", σύμφωνα με ένα Έκθεση Palo Alto. Επιπλέον, ο Palo Alto δήλωσε στην ίδια έκθεση ότι οι χειριστές του LockBit ισχυρίζονται ότι διαθέτουν το ταχύτερο λογισμικό κρυπτογράφησης από οποιοδήποτε ενεργό ransomware.
Το LockBit ransomware έχει εντοπιστεί σε πολλά έθνη σε όλο τον κόσμο, όπως η Κίνα, οι ΗΠΑ, η Γαλλία, η Ουκρανία, το Ηνωμένο Βασίλειο και η Ινδία. Ορισμένοι μεγάλοι οργανισμοί έχουν επίσης στοχοποιηθεί χρησιμοποιώντας το LockBit, συμπεριλαμβανομένης της Accenture, μιας ιρλανδοαμερικανικής εταιρείας επαγγελματικών υπηρεσιών.
Η Accenture υπέστη παραβίαση δεδομένων ως αποτέλεσμα της χρήσης του LockBit το 2021, με τους εισβολείς να ζητούν λύτρα 50 εκατομμυρίων δολαρίων, με κρυπτογραφημένα δεδομένα άνω των 6 TB. Η Accenture δεν συμφώνησε να πληρώσει αυτά τα λύτρα, αν και η εταιρεία ισχυρίστηκε ότι κανένας πελάτης δεν είχε επηρεαστεί από την επίθεση.
Το LockBit 3.0 και οι κίνδυνοι του
Καθώς η δημοτικότητα του LockBit αυξάνεται, κάθε νέα επανάληψη προκαλεί σοβαρή ανησυχία. Η τελευταία έκδοση του LockBit, γνωστή ως LockBit 3.0, έχει ήδη γίνει πρόβλημα, ειδικά στα λειτουργικά συστήματα Windows.
Το καλοκαίρι του 2022, ήταν το LockBit 3.0 χρησιμοποιείται για τη φόρτωση επιβλαβών ωφέλιμων φορτίων Cobalt Strike σε στοχευμένες συσκευές μέσω της εκμετάλλευσης του Windows Defender. Σε αυτό το κύμα επιθέσεων, έγινε κατάχρηση ενός εκτελέσιμου αρχείου γραμμής εντολών, γνωστό ως MpCmdRun.exe, έτσι ώστε τα beacons Cobalt Strike να μπορούν να παρακάμψουν τον εντοπισμό ασφαλείας.
Το LockBit 3.0 έχει επίσης χρησιμοποιηθεί για την εκμετάλλευση μιας γραμμής εντολών VMWare, γνωστής ως VMwareXferlogs.exe για την ανάπτυξη και πάλι ωφέλιμων φορτίων Cobalt Strike. Δεν είναι γνωστό εάν αυτές οι επιθέσεις θα συνεχιστούν ή θα εξελιχθούν σε κάτι εντελώς άλλο.
Είναι προφανές ότι το LockBit ransomware είναι υψηλού κινδύνου, όπως συμβαίνει με πολλά προγράμματα ransomware. Λοιπόν, πώς μπορείτε να κρατήσετε τον εαυτό σας ασφαλή;
Πώς να προστατεύσετε τον εαυτό σας από το LockBit Ransomware
Δεδομένου ότι το LockBit ransomware πρέπει πρώτα να υπάρχει στη συσκευή σας για την κρυπτογράφηση αρχείων, πρέπει να προσπαθήσετε να το αποκόψετε από την πηγή και να αποτρέψετε εντελώς τη μόλυνση. Αν και είναι δύσκολο να εγγυηθείτε την προστασία σας από ransomware, υπάρχουν πολλά που μπορείτε να κάνετε για να αποφύγετε όσο το δυνατόν περισσότερο.
Πρώτον, είναι απαραίτητο να μην κατεβάζετε ποτέ αρχεία ή προγράμματα λογισμικού από τοποθεσίες που δεν είναι απολύτως νόμιμες. Η λήψη οποιουδήποτε είδους μη επαληθευμένου αρχείου στη συσκευή σας μπορεί να δώσει σε έναν εισβολέα ransomware εύκολη πρόσβαση στα αρχεία σας. Βεβαιωθείτε ότι χρησιμοποιείτε μόνο αξιόπιστους και καλά αξιολογημένους ιστότοπους για τις λήψεις σας ή επίσημα καταστήματα εφαρμογών για εγκατάσταση λογισμικού.
Ένας άλλος παράγοντας που πρέπει να σημειωθεί είναι ότι το LockBit ransomware είναι συχνά διάδοση μέσω πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Εάν δεν χρησιμοποιείτε αυτήν την τεχνολογία, δεν χρειάζεται να ανησυχείτε για αυτόν τον δείκτη. Ωστόσο, εάν το κάνετε, είναι σημαντικό να προστατεύσετε το δίκτυο RDP σας χρησιμοποιώντας προστασία με κωδικό πρόσβασης, VPN και απενεργοποιώντας το πρωτόκολλο όταν δεν χρησιμοποιείται απευθείας. Οι χειριστές ransomware συχνά σαρώνουν το Διαδίκτυο για ευάλωτες συνδέσεις RDP, επομένως η προσθήκη επιπλέον επιπέδων προστασίας θα κάνει το δίκτυό σας RDP λιγότερο επιρρεπές σε επιθέσεις.
Το Ransomware μπορεί επίσης να διαδοθεί μέσω phishing, ενός απίστευτα δημοφιλούς τρόπου μόλυνσης και κλοπής δεδομένων που χρησιμοποιείται από κακόβουλους παράγοντες. Το ηλεκτρονικό ψάρεμα αναπτύσσεται συνήθως μέσω email, όπου ο εισβολέας θα επισυνάψει έναν κακόβουλο σύνδεσμο στο σώμα του email στον οποίο θα πείσει το θύμα να κάνει κλικ. Αυτός ο σύνδεσμος θα οδηγήσει σε έναν κακόβουλο ιστότοπο που μπορεί να διευκολύνει τη μόλυνση από κακόβουλο λογισμικό.
Η αποφυγή ηλεκτρονικού ψαρέματος μπορεί να γίνει με διάφορους τρόπους, συμπεριλαμβανομένης της χρήσης λειτουργιών ηλεκτρονικού ταχυδρομείου κατά των ανεπιθύμητων μηνυμάτων, ιστοσελίδες ελέγχου συνδέσμωνκαι λογισμικό προστασίας από ιούς. Θα πρέπει επίσης να επαληθεύσετε τη διεύθυνση αποστολέα οποιουδήποτε νέου email και να σαρώσετε για τυπογραφικά λάθη στα μηνύματα ηλεκτρονικού ταχυδρομείου (καθώς τα μηνύματα ηλεκτρονικού ταχυδρομείου απάτης είναι συχνά γεμάτα με ορθογραφικά και γραμματικά λάθη).
Το LockBit συνεχίζει να αποτελεί παγκόσμια απειλή
Το LockBit συνεχίζει να εξελίσσεται και να στοχεύει όλο και περισσότερα θύματα: αυτό το ransomware δεν θα πάει πουθενά σύντομα. Για να κρατήσετε τον εαυτό σας ασφαλή από το LockBit και το ransomware γενικά, λάβετε υπόψη μερικές από τις παραπάνω συμβουλές. Ενώ μπορεί να πιστεύετε ότι δεν θα γίνετε ποτέ στόχος, είναι πάντα συνετό να λαμβάνετε τις απαραίτητες προφυλάξεις ούτως ή άλλως.
