Vagystės, turto prievartavimas, šantažas ir apsimetinėjimas internete plinta – tūkstančiai žmonių kas mėnesį tampa įvairių sukčių ir išpuolių aukomis. Vienas iš tokių atakų būdų naudoja išpirkos reikalaujančią programinę įrangą, žinomą kaip LockBit 3.0. Taigi, iš kur atsirado ši išpirkos reikalaujanti programa, kaip ji naudojama ir ką galite padaryti, kad apsisaugotumėte?

Iš kur atsirado „LockBit 3.0“?

„LockBit 3.0“ (taip pat žinomas kaip „LockBit Black“) yra išpirkos reikalaujančių programų atmaina, kilusi iš „LockBit“ išpirkos reikalaujančių programų šeimos. Tai išpirkos reikalaujančių programų grupė, kuri pirmą kartą buvo atrasta 2019 m. rugsėjį, po pirmosios atakų bangos. Iš pradžių LockBit buvo vadinamas „.abcd virusu“, tačiau tuo metu nebuvo žinoma, kad „LockBit“ kūrėjai ir vartotojai toliau kurs naujas originalios išpirkos reikalaujančios programinės įrangos iteracijas programa.

„LockBit“ išpirkos reikalaujančių programų šeima plinta savaime, tačiau taikosi tik tam tikros aukos – daugiausia tos, kurios gali sumokėti didelę išpirką. Tie, kurie naudoja „LockBit“ išpirkos programinę įrangą, dažnai perka nuotolinio darbalaukio protokolo (RDP) prieigą tamsiajame žiniatinklyje, kad galėtų nuotoliniu būdu ir lengviau pasiekti aukų įrenginius.

instagram viewer

„LockBit“ operatoriai nuo pat pirmojo panaudojimo taikėsi į organizacijas visame pasaulyje, įskaitant JK, JAV, Ukrainą ir Prancūziją. Ši kenkėjiškų programų šeima naudoja Ransomware-as-a-Service (RaaS) modelis, kuriame vartotojai gali sumokėti operatoriams už prieigą prie tam tikros rūšies išpirkos reikalaujančios programinės įrangos. Tai dažnai apima tam tikrą prenumeratos formą. Kartais vartotojai netgi gali patikrinti statistiką, kad pamatytų, ar sėkmingai naudojo „LockBit“ išpirkos reikalaujančią programinę įrangą.

Tik 2021 m., naudojant LockBit 2.0 (dabartinės padermės pirmtakas), „LockBit“ tapo plačiai paplitusia išpirkos reikalaujančia programa. Šiuo metu gaujos, kurios naudojo šią išpirkos programą, nusprendė taikyti dvigubo turto prievartavimo modelį. Tai apima aukos failų šifravimą ir išfiltravimą (arba perkėlimą) į kitą įrenginį. Šis papildomas atakos metodas padaro visą situaciją dar baisesnę asmeniui ar organizacijai, į kurią kreipiamasi.

Naujausia „LockBit“ išpirkos reikalaujanti programa buvo identifikuota kaip „LockBit 3.0“. Taigi, kaip veikia „LockBit 3.0“ ir kaip ji naudojama šiandien?

Kas yra „LockBit 3.0“?

2022 m. pavasario pabaigoje buvo aptikta nauja LockBit išpirkos reikalaujančių programų grupės iteracija: LockBit 3.0. Kaip išpirkos reikalaujanti programa, LockBit 3.0 gali šifruoti ir išfiltruoti visus failus užkrėstame įrenginyje, leidžiant užpuolikui laikyti aukos duomenis įkaitais, kol bus gauta išpirka. mokama. Ši išpirkos reikalaujanti programa dabar aktyvi laukinėje gamtoje ir kelia didelį susirūpinimą.

Įprastos „LockBit 3.0“ atakos procesas yra toks:

  1. „LockBit 3.0“ užkrečia aukos įrenginį, užšifruoja failus ir prideda šifruotų failų plėtinį kaip „HLjkNskOq“.
  2. Tada, norint atlikti šifravimą, reikalingas komandinės eilutės argumento raktas, žinomas kaip „-pass“.
  3. „LockBit 3.0“ sukuria įvairias gijas, kad vienu metu būtų galima atlikti kelias užduotis, kad duomenų šifravimą būtų galima užbaigti per trumpesnį laiką.
  4. „LockBit 3.0“ ištrina tam tikras paslaugas ar funkcijas, kad šifravimo ir išfiltravimo procesas būtų daug lengvesnis.
  5. API naudojama paslaugų valdymo tvarkyklės prieigai prie duomenų bazės užtikrinti.
  6. Aukos darbalaukio ekrano užsklanda pakeičiama taip, kad jie žinotų, kad yra užpulti.

Jei auka nesumokės išpirkos per reikiamą laikotarpį, „LockBit 3.0“ užpuolikai parduos duomenis, kuriuos pavogė tamsiajame internete, kitiems kibernetiniams nusikaltėliams. Tai gali būti katastrofiška tiek individualiai aukai, tiek organizacijai.

Rašymo metu „LockBit 3.0“ labiausiai išsiskiria tuo „Windows Defender“ išnaudojimas „Cobalt Strike“ diegimui, skverbties tikrinimo įrankis, galintis numesti naudingą apkrovą. Ši programinė įranga taip pat gali sukelti kenkėjiškų programų užkrėtimo grandinę keliuose įrenginiuose.

Šiame procese naudojamas komandų eilutės įrankis MpCmdRun.exe, kad užpuolikas galėtų iššifruoti ir paleisti švyturius. Tai atliekama apgaudinėjant sistemą, kad ji nustatytų prioritetus ir įkeltų kenkėjišką DLL (dinaminės nuorodos biblioteką).

„Windows Defender“ naudoja vykdomąjį failą MpCmdRun.exe, kad patikrintų, ar nėra kenkėjiškų programų, taigi apsaugo įrenginį nuo žalingų failų ir programų. Atsižvelgiant į tai, kad „Cobalt Strike“ gali apeiti „Windows Defender“ saugos priemones, ji tapo labai naudinga „ransomware“ užpuolikams.

Ši technika taip pat žinoma kaip šoninis įkėlimas ir leidžia kenkėjiškoms šalims saugoti arba pavogti duomenis iš užkrėstų įrenginių.

Kaip išvengti LockBit 3.0 Ransomware

„LockBit 3.0“ kelia vis didesnį susirūpinimą, ypač didelėms organizacijoms, turinčioms daugybę duomenų, kuriuos galima užšifruoti ir išfiltruoti. svarbu užtikrinti, kad išvengtumėte šios pavojingos atakos.

Norėdami tai padaryti, pirmiausia turėtumėte įsitikinti, kad visose paskyrose naudojate ypač stiprius slaptažodžius ir dviejų veiksnių autentifikavimą. Dėl šio papildomo saugumo kibernetiniams nusikaltėliams gali būti daug sunkiau užpulti jus naudojant išpirkos reikalaujančią programinę įrangą. Apsvarstykite Nuotolinio darbalaukio protokolo ransomware atakos, pavyzdžiui. Tokiu atveju užpuolikas internete nuskaitys pažeidžiamus KPP ryšius. Taigi, jei jūsų ryšys yra apsaugotas slaptažodžiu ir naudoja 2FA, daug mažesnė tikimybė, kad būsite nukreiptas.

Be to, visada turėtumėte atnaujinti savo įrenginių operacines sistemas ir antivirusines programas. Programinės įrangos naujinimai gali užtrukti ir varginantys, tačiau yra priežastis, kodėl jie egzistuoja. Tokiuose naujinimuose dažnai pateikiami klaidų pataisymai ir papildomos saugos funkcijos, kad jūsų įrenginiai ir duomenys būtų apsaugoti, todėl nepraleiskite progos nuolat atnaujinti savo įrenginius.

Dar viena svarbi priemonė, kurios reikia imtis ne siekiant išvengti išpirkos reikalaujančių programų atakų, o jų pasekmių – failų atsarginių kopijų kūrimas. Kartais išpirkos reikalaujantys užpuolikai dėl įvairių priežasčių nuslėps svarbią informaciją, kurios jums reikia, todėl atsarginės kopijos turėjimas tam tikru mastu sumažina žalos mastą. Kopijos neprisijungus, pvz., saugomos USB atmintinėje, gali būti neįkainojamos, kai duomenys pavagiami arba ištrinami iš įrenginio.

Priemonės po užsikrėtimo

Nors aukščiau pateikti pasiūlymai gali apsaugoti jus nuo „LockBit“ išpirkos reikalaujančios programos, infekcijos tikimybė vis tiek išlieka. Taigi, jei pastebėsite, kad jūsų kompiuteris buvo užkrėstas LockBit 3.0, svarbu nesielgti neracionaliai. Yra žingsnių, kurių galite imtis pašalinkite išpirkos reikalaujančias programas iš savo įrenginio, kurio turėtumėte atidžiai ir atidžiai sekti.

Taip pat turėtumėte įspėti valdžios institucijas, jei tapote išpirkos reikalaujančios programos atakos auka. Tai padeda atitinkamoms šalims geriau suprasti tam tikrą išpirkos reikalaujančios programinės įrangos atmainą ir susidoroti su ja.

„LockBit 3.0“ atakos gali tęstis

Niekas nežino, kiek kartų dar LockBit 3.0 išpirkos reikalaujanti programinė įranga bus naudojama aukoms grasinti ir išnaudoti. Štai kodėl labai svarbu visais įmanomais būdais apsaugoti savo įrenginius ir paskyras, kad jūsų neskelbtini duomenys būtų saugūs.