Vargused, väljapressimised, väljapressimised ja kellegi teisena esinemine on Internetis levinud ning tuhanded inimesed langevad iga kuu erinevate petuskeemide ja rünnakute ohvriks. Üks selline ründeviis kasutab teatud tüüpi lunavara, mida tuntakse LockBit 3.0 nime all. Niisiis, kust see lunavara tuli, kuidas seda kasutatakse ja mida saate enda kaitsmiseks teha?

Kust tuli LockBit 3.0?

LockBit 3.0 (tuntud ka kui LockBit Black) on LockBiti lunavara perekonnast pärit lunavara tüvi. See on lunavaraprogrammide rühm, mis avastati esmakordselt 2019. aasta septembris, pärast esimese rünnakulaine toimumist. Algselt nimetati LockBiti .abcd viiruseks, kuid sel hetkel ei olnud veel teada, et LockBiti loojad ja kasutajad jätkavad algse lunavara uute iteratsioonide loomist programm.

LockBiti lunavaraprogrammide perekond levib ise, kuid sihikule on võetud vaid teatud ohvrid – peamiselt need, kellel on võimalus suurt lunaraha maksta. Need, kes kasutavad LockBiti lunavara, ostavad sageli kaugtöölauaprotokolli (RDP) juurdepääsu pimedas veebis, et pääseda ohvrite seadmetele eemalt ja hõlpsamini juurde.

LockBiti operaatorid on alates selle esmakordsest kasutamisest sihtinud organisatsioone üle kogu maailma, sealhulgas Ühendkuningriigis, USA-s, Ukrainas ja Prantsusmaal. See pahatahtlike programmide perekond kasutab Ransomware-as-a-Service (RaaS) mudel, kus kasutajad saavad maksta operaatoritele juurdepääsu eest teatud tüüpi lunavarale. See hõlmab sageli teatud vormis tellimust. Mõnikord saavad kasutajad isegi statistikat kontrollida, et näha, kas nende LockBiti lunavara kasutamine oli edukas.

Alles 2021. aastal sai LockBitist LockBit 2.0 (praeguse tüve eelkäija) kaudu levinud lunavara. Sel hetkel otsustasid seda lunavara kasutanud jõugud seda teha võtta kasutusele topeltväljapressimise mudel. See hõlmab nii ohvri failide krüptimist kui ka väljafiltreerimist (või ülekandmist) teise seadmesse. See täiendav ründemeetod muudab kogu olukorra sihikule suunatud üksikisiku või organisatsiooni jaoks veelgi hirmutavamaks.

Uusimat tüüpi LockBiti lunavara on tuvastatud kui LockBit 3.0. Niisiis, kuidas LockBit 3.0 töötab ja kuidas seda tänapäeval kasutatakse?

Mis on LockBit 3.0?

2022. aasta hiliskevadel avastati LockBiti lunavararühma uus iteratsioon: LockBit 3.0. Lunavaraprogrammina saab LockBit 3.0 krüpteerida ja eksfiltreerida kõik nakatunud seadme failid, võimaldades ründajal hoida ohvri andmeid ilmselt pantvangis seni, kuni nõutud lunaraha on laekunud. makstud. See lunavara on praegu looduses aktiivne ja tekitab palju muret.

Tüüpilise LockBit 3.0 rünnaku protsess on järgmine:

  1. LockBit 3.0 nakatab ohvri seadme, krüpteerib failid ja lisab krüptitud failidele laiendi HLjkNskOq.
  2. Seejärel on krüptimiseks vaja käsurea argumendi võtit, mida tuntakse kui "-pass".
  3. LockBit 3.0 loob mitme ülesande samaaegseks täitmiseks erinevaid lõime, nii et andmete krüpteerimine saab lõpule viia lühema ajaga.
  4. LockBit 3.0 kustutab teatud teenused või funktsioonid, et muuta krüpteerimis- ja eksfiltreerimisprotsess palju lihtsamaks.
  5. Teenusehalduri andmebaasi juurdepääsu tagamiseks kasutatakse API-d.
  6. Ohvri töölaua taustapilti muudetakse, et ta teaks, et on rünnaku all.

Kui ohver vajaliku aja jooksul lunaraha ei maksa, müüvad LockBit 3.0 ründajad pimedas veebis varastatud andmed teistele küberkurjategijatele. See võib olla katastroofiline nii üksikisikule kui ka organisatsioonile.

Kirjutamise ajal on LockBit 3.0 kõige tähelepanuväärsem Windows Defenderi ärakasutamine Cobalt Strike'i juurutamiseks, läbitungimistesti tööriist, mis võib kasulikku koormat maha visata. See tarkvara võib põhjustada ka pahavara nakatumise ahelat mitmes seadmes.

Selles protsessis kasutatakse käsurea tööriista MpCmdRun.exe, et ründaja saaks dekrüpteerida ja käivitada majakad. Seda tehakse, meelitades süsteemi prioriseerima ja laadima pahatahtlikku DLL-i (Dynamic-Link Library).

Windows Defender kasutab käivitatavat faili MpCmdRun.exe pahavara otsimiseks, kaitstes seega seadet kahjulike failide ja programmide eest. Arvestades, et Cobalt Strike suudab Windows Defenderi turvameetmetest mööda minna, on see muutunud lunavararündajate jaoks väga kasulikuks.

Seda tehnikat tuntakse ka kui külglaadimist ja see võimaldab pahatahtlikel osapooltel nakatunud seadmetest andmeid salvestada või varastada.

Kuidas vältida LockBit 3.0 lunavara

LockBit 3.0 valmistab üha suuremat muret, eriti suuremate organisatsioonide seas, kellel on hunnikutes andmeid, mida saab krüpteerida ja välja filtreerida. on oluline tagada, et hoiate seda ohtlikku rünnakut eemal.

Selleks peaksite esmalt veenduma, et kasutate kõikidel oma kontodel ülitugevaid paroole ja kahefaktorilist autentimist. See täiendav turvakiht võib muuta küberkurjategijatel teid lunavara kasutades palju raskemaks rünnata. Kaaluge Remote Desktop Protocol lunavararünnakud, näiteks. Sellise stsenaariumi korral otsib ründaja Internetti haavatavate RDP-ühenduste leidmiseks. Seega, kui teie ühendus on parooliga kaitstud ja kasutab 2FA-d, on teie sihtmärgiks osutumine palju väiksem.

Lisaks peaksite alati hoidma oma seadmete operatsioonisüsteemid ja viirusetõrjeprogrammid ajakohasena. Tarkvaravärskendused võivad olla aeganõudvad ja masendavad, kuid nende olemasolul on põhjus. Selliste värskendustega on sageli kaasas veaparandused ja täiendavad turvafunktsioonid, et hoida teie seadmeid ja andmeid kaitstuna, seega ärge jätke kasutamata võimalust oma seadmeid värskendada.

Teine oluline meede, mida võtta mitte lunavararünnakute, vaid nende tagajärgede vältimiseks, on failide varundamine. Mõnikord varjavad lunavararündajad erinevatel põhjustel olulist teavet, mida te vajate, nii et varukoopia omamine vähendab kahju ulatust mingil määral. Võrguühenduseta koopiad, näiteks USB-mälupulgale salvestatud koopiad, võivad olla hindamatu väärtusega, kui andmed varastatakse või seadmest pühitakse.

Infektsioonijärgsed meetmed

Kuigi ülaltoodud soovitused võivad teid kaitsta LockBiti lunavara eest, on nakatumise võimalus siiski olemas. Seega, kui leiate, et teie arvuti on nakatunud LockBit 3.0-ga, on oluline mitte käituda irratsionaalselt. On samme, mida saate teha eemaldage oma seadmest lunavara, mida peaksite hoolikalt ja hoolikalt järgima.

Samuti peaksite teavitama ametiasutusi, kui olete langenud lunavararünnaku ohvriks. See aitab asjaomastel osapooltel teatud lunavara tüve paremini mõista ja sellega toime tulla.

LockBit 3.0 rünnakud võivad jätkuda

Keegi ei tea, mitu korda LockBit 3.0 lunavara veel ohvrite ähvardamiseks ja ärakasutamiseks kasutatakse. Seetõttu on ülioluline kaitsta oma seadmeid ja kontosid igal võimalikul viisil, et teie tundlikud andmed oleksid kaitstud.