Jei nuolat atnaujinate kibernetinio saugumo grėsmes, tikriausiai žinote, kaip pavojingai išpopuliarėjo išpirkos reikalaujančios programos. Tokio pobūdžio kenkėjiškos programos kelia didžiulę grėsmę asmenims ir organizacijoms, o tam tikros atmainos dabar tampa populiariausiu kenkėjiškų veikėjų pasirinkimu, įskaitant LockBit.
Taigi, kas yra „LockBit“, iš kur jis atsirado ir kaip nuo jo apsisaugoti?
Kas yra „LockBit Ransomware“?
Nors „LockBit“ prasidėjo kaip viena išpirkos reikalaujančių programų atmaina, nuo to laiko ji kelis kartus vystėsi, o naujausia versija buvo žinoma kaip „LockBit 3.0“ (apie tai aptarsime šiek tiek vėliau). „LockBit“ apima išpirkos reikalaujančių programų šeimą, kuri veikia naudojant Ransomware-as-a-Service (RaaS) modelis.
„Ransomware-as-a-Service“ yra verslo modelis, kuriame vartotojai moka už prieigą prie tam tikros rūšies išpirkos reikalaujančios programinės įrangos, kad galėtų ją panaudoti savo atakoms. Dėl to vartotojai tampa filialais, o jų mokėjimas gali apimti fiksuotą mokestį arba prenumeratos paslaugą. Trumpai tariant, „LockBit“ kūrėjai rado būdą, kaip dar labiau pasipelnyti iš jo naudojimo, naudodami šį „RaaS“ modelį, ir netgi gali sumažinti aukų sumokėtą išpirką.
Daugelį kitų išpirkos reikalaujančių programų galima pasiekti naudojant „RaaS“ modelį, įskaitant „DarkSide“ ir „REvil“. Be šių, „LockBit“ yra vienas populiariausių šiandien naudojamų išpirkos reikalaujančių programų tipų.
Atsižvelgiant į tai, kad „LockBit“ yra išpirkos reikalaujančių programų šeima, jos naudojimas apima taikinio failų šifravimą. Kibernetiniai nusikaltėliai vienaip ar kitaip įsiskverbs į aukos įrenginį, galbūt per sukčiavimo el. laišką arba kenkėjišką priedą ir tada naudos „LockBit“, kad užšifruotų visus įrenginyje esančius failus, kad jie būtų nepasiekiami Vartotojas.
Kai aukos failai bus užšifruoti, užpuolikas pareikalaus išpirkos mainais už iššifravimo raktą. Jei auka nesilaikys reikalavimų ir nesumokės išpirkos, tikėtina, kad užpuolikas parduos duomenis tamsiajame žiniatinklyje siekdamas pelno. Priklausomai nuo to, kokie duomenys yra, tai gali padaryti negrįžtamą žalą asmens ar organizacijos privatumui, o tai gali padidinti spaudimą mokėti išpirką.
Bet iš kur atsirado ši labai pavojinga išpirkos programa?
„LockBit Ransomware“ ištakos
Tiksliai nežinoma, kada buvo sukurtas „LockBit“, tačiau pripažinta jo istorija tęsiasi iki 2019 m., kai jis buvo pirmą kartą surastas. Šis atradimas įvyko po pirmosios „LockBit“ atakų bangos, kai išpirkos reikalaujanti programinė įranga iš pradžių buvo sukurta „ABCD“, atsižvelgiant į šifruotų failų, naudojamų atakų metu, plėtinio pavadinimą. Tačiau kai užpuolikai pradėjo naudoti failo plėtinį „.lockbit“, išpirkos reikalaujančios programos pavadinimas pasikeitė į dabartinį.
„LockBit“ populiarumas išaugo po to, kai buvo sukurta antroji iteracija „LockBit 2.0“. 2021 m. pabaigoje LockBit 2.0 buvo vis dažniau naudojamas filialų už atakas, o uždarius kitas išpirkos reikalaujančių programų gaujas, „LockBit“ galėjo pasinaudoti turgus.
Tiesą sakant, padidėjęs „LockBit 2.0“ naudojimas sustiprino jos „paveikiausio ir plačiausiai naudojamo“ poziciją. „Išpirkos reikalaujančios programos“ variantas, kurį stebėjome per visus išpirkos reikalaujančių programų pažeidimus per pirmąjį 2022 m. ketvirtį“, – teigia a Palo Alto ataskaita. Be to, Palo Alto toje pačioje ataskaitoje teigė, kad „LockBit“ operatoriai teigia turintys greičiausią šifravimo programinę įrangą iš visų šiuo metu veikiančių išpirkos reikalaujančių programų.
„LockBit“ išpirkos reikalaujančios programos buvo pastebėtos keliose pasaulio šalyse, įskaitant Kiniją, JAV, Prancūziją, Ukrainą, JK ir Indiją. Daugybė didelių organizacijų taip pat buvo nukreiptos naudojant „LockBit“, įskaitant „Accenture“, Airijos ir Amerikos profesionalių paslaugų bendrovę.
„Accenture“ patyrė duomenų pažeidimą dėl „LockBit“ naudojimo 2021 m., užpuolikai pareikalavo milžiniškos 50 mln. USD išpirkos, užšifravus daugiau nei 6 TB duomenų. „Accenture“ nesutiko mokėti šios išpirkos, nors bendrovė teigė, kad ataka nepalietė nė vieno kliento.
„LockBit 3.0“ ir jos pavojai
Augant „LockBit“ populiarumui, kiekviena nauja iteracija kelia rimtą susirūpinimą. Naujausia „LockBit“ versija, žinoma kaip „LockBit 3.0“, jau tapo problema, ypač „Windows“ operacinėse sistemose.
2022 m. vasarą buvo „LockBit 3.0“. naudojamas kenksmingiems „Cobalt Strike“ kroviniams krauti tiksliniuose įrenginiuose naudojant „Windows Defender“. Per šią atakų bangą buvo piktnaudžiaujama vykdomuoju komandų eilutės failu, žinomu kaip MpCmdRun.exe, kad „Cobalt Strike“ švyturiai galėtų apeiti saugos aptikimą.
LockBit 3.0 taip pat buvo naudojamas naudojant VMWare komandų eilutę, žinomą kaip VMwareXferlogs.exe, kad vėl būtų galima įdiegti Cobalt Strike naudingąsias apkrovas. Nežinia, ar šie išpuoliai tęsis, ar peraugs į ką nors kita.
Akivaizdu, kad LockBit išpirkos reikalaujančios programos yra didelės rizikos, kaip ir daugelio išpirkos reikalaujančių programų atveju. Taigi, kaip galite apsisaugoti?
Kaip apsisaugoti nuo LockBit Ransomware
Atsižvelgiant į tai, kad „LockBit“ išpirkos reikalaujanti programinė įranga pirmiausia turi būti jūsų įrenginyje, kad galėtumėte užšifruoti failus, turite pabandyti ją nutraukti prie šaltinio ir visiškai užkirsti kelią infekcijai. Nors sunku užtikrinti jūsų apsaugą nuo išpirkos reikalaujančių programų, galite daug nuveikti, kad išvengtumėte kuo daugiau.
Pirma, labai svarbu, kad niekada neatsisiųstumėte jokių failų ar programinės įrangos iš svetainių, kurios nėra visiškai teisėtos. Atsisiuntę bet kokio tipo nepatvirtintą failą į savo įrenginį, išpirkos reikalaujantis užpuolikas gali lengvai pasiekti jūsų failus. Įsitikinkite, kad atsisiuntimui naudojate tik patikimas ir gerai peržiūrėtas svetaines arba programinės įrangos diegimo oficialias programų parduotuves.
Kitas veiksnys, į kurį reikia atkreipti dėmesį, yra tai, kad „LockBit“ išpirkos reikalaujančios programos dažnai yra platinti per nuotolinio darbalaukio protokolą (RDP). Jei nenaudojate šios technologijos, jums nereikia jaudintis dėl šios žymeklio. Tačiau jei tai padarysite, svarbu apsaugoti savo KPP tinklą naudodami apsaugą slaptažodžiu, VPN ir išjungti protokolą, kai jis nenaudojamas tiesiogiai. Ransomware operatoriai dažnai nuskaito internetą, ieškodami pažeidžiamų KPP ryšių, todėl pridėjus papildomų apsaugos sluoksnių jūsų KPP tinklas bus mažiau jautrus atakoms.
Išpirkos reikalaujančios programos taip pat gali būti platinamos per sukčiavimą – neįtikėtinai populiarų užkrėtimo ir duomenų vagystės būdą, kurį naudoja kenkėjiški veikėjai. Sukčiavimas dažniausiai vykdomas el. laiškais, kai užpuolikas prie el. laiško turinio prideda kenkėjišką nuorodą, kurią įtikins auką spustelėti. Ši nuoroda nukreips į kenkėjišką svetainę, kuri gali palengvinti kenkėjiškų programų užkrėtimą.
Išvengti sukčiavimo galima įvairiais būdais, įskaitant anti-spam funkcijas, nuorodas tikrinančios svetainėsir antivirusinę programinę įrangą. Taip pat turėtumėte patikrinti bet kokio naujo el. laiško siuntėjo adresą ir nuskaityti, ar el. laiškuose nėra rašybos klaidų (nes sukčiavimo el. laiškuose dažnai yra rašybos ir gramatikos klaidų).
„LockBit“ ir toliau kelia pasaulinę grėsmę
„LockBit“ toliau vystosi ir taikosi į vis daugiau aukų: ši išpirkos reikalaujanti programa greitai niekur nedings. Kad apsisaugotumėte nuo „LockBit“ ir apskritai išpirkos reikalaujančių programų, atsižvelkite į kai kuriuos anksčiau pateiktus patarimus. Nors galite manyti, kad niekada netapsite taikiniu, visada protinga imtis būtinų atsargumo priemonių.