Kui hoiate end kursis küberjulgeolekuohtudega, olete ilmselt teadlik sellest, kui ohtlikult populaarseks on lunavara muutunud. Seda tüüpi pahavara kujutab endast tohutut ohtu nii üksikisikutele kui ka organisatsioonidele, kuna teatud tüved on muutunud pahatahtlike osalejate, sealhulgas LockBiti, parimaks valikuks.
Niisiis, mis on LockBit, kust see tuli ja kuidas saate end selle eest kaitsta?
Mis on LockBit Ransomware?
Kuigi LockBit sai alguse ühe lunavara tüvena, on see hiljem mitu korda edasi arenenud ja uusim versioon on tuntud kui "LockBit 3.0" (millest räägime veidi hiljem). LockBit hõlmab lunavaraprogrammide perekonda, mis töötavad kasutades Ransomware-as-a-Service (RaaS) mudel.
Ransomware-as-a-Service on ärimudel, mis hõlmab kasutajate tasumist teatud tüüpi lunavarale juurdepääsu eest, et nad saaksid seda oma rünnakuteks kasutada. Selle kaudu saavad kasutajad sidusettevõteteks ja nende tasumine võib hõlmata kindlat tasu või abonemendipõhist teenust. Lühidalt öeldes on LockBiti loojad leidnud võimaluse selle RaaS-i mudeli abil selle kasutamisest veelgi kasu saada ja saavad isegi ohvrite makstud lunaraha kärbe.
RaaS-i mudeli kaudu pääseb juurde mitmetele teistele lunavaraprogrammidele, sealhulgas DarkSide ja REvil. Nende kõrval on LockBit üks populaarsemaid tänapäeval kasutatavaid lunavaratüüpe.
Arvestades, et LockBit on lunavaraperekond, hõlmab selle kasutamine sihtmärgi failide krüptimist. Küberkurjategijad tungivad ühel või teisel viisil ohvri seadmesse, võib-olla andmepüügi või pahatahtliku meili kaudu. manusena ja kasutab seejärel LockBiti kõigi seadmes olevate failide krüptimiseks nii, et need ei oleks seadmele juurdepääsetavad. kasutaja.
Kui ohvri failid on krüptitud, nõuab ründaja dekrüpteerimisvõtme eest lunaraha. Kui ohver seda ei täida ja lunaraha ei maksa, on tõenäoline, et ründaja müüb seejärel andmed kasumi eesmärgil pimedas veebis maha. Olenevalt sellest, millised andmed on, võib see põhjustada pöördumatut kahju üksikisiku või organisatsiooni privaatsusele, mis võib suurendada survet lunaraha maksmiseks.
Aga kust see väga ohtlik lunavara tuli?
LockBit Ransomware päritolu
Pole täpselt teada, millal LockBit välja töötati, kuid selle tunnustatud ajalugu ulatub aastasse 2019, mil see esmakordselt leiti. See avastus tuli pärast LockBiti esimest ründelainet, kui lunavara loodi algselt ABCD-ks, viidates rünnakute käigus ära kasutatud krüptitud failide laiendinimedele. Kui aga ründajad hakkasid kasutama hoopis faililaiendit ".lockbit", muutus lunavara nimi praeguseks.
LockBiti populaarsus kasvas pärast selle teise iteratsiooni LockBit 2.0 väljatöötamist. 2021. aasta lõpus kasutati LockBit 2.0 üha enam sidusettevõtete poolt rünnakute eest ja pärast teiste lunavaragruppide sulgemist suutis LockBit ära kasutada lünka turul.
Tegelikult tugevdas LockBit 2.0 laialdasem kasutamine selle positsiooni "kõige mõjukama ja laialdasemalt kasutatavana". lunavaravariant, mida oleme täheldanud kõigi lunavara rikkumiste puhul 2022. aasta esimeses kvartalis", teatas a Palo Alto raport. Lisaks väitis Palo Alto samas aruandes, et LockBiti operaatorid väidavad, et neil on praegu aktiivsetest lunavaradest kiireim krüpteerimistarkvara.
LockBiti lunavara on märgatud paljudes riikides üle kogu maailma, sealhulgas Hiinas, USA-s, Prantsusmaal, Ukrainas, Ühendkuningriigis ja Indias. LockBiti abil on sihikule võetud ka mitmed suured organisatsioonid, sealhulgas Iiri-Ameerika professionaalsete teenuste ettevõte Accenture.
Accenture kannatas 2021. aastal LockBiti kasutamise tõttu andmemurdmiseni, kus ründajad nõudsid 50 miljoni dollari suurust lunaraha, krüpteeriti üle 6 TB andmeid. Accenture ei nõustunud seda lunaraha maksma, kuigi ettevõte väitis, et rünnak ei mõjutanud ühtegi klienti.
LockBit 3.0 ja selle riskid
Kuna LockBiti populaarsus kasvab, on iga uus iteratsioon tõsine probleem. LockBiti uusim versioon, tuntud kui LockBit 3.0, on juba muutunud probleemiks, eriti Windowsi operatsioonisüsteemides.
2022. aasta suvel oli LockBit 3.0 kasutatakse kahjulike Cobalt Strike'i kasulike koormate laadimiseks sihitud seadmetes Windows Defenderi ärakasutamise kaudu. Selles rünnete laines kuritarvitati käivitatavat käsureafaili nimega MpCmdRun.exe, et Cobalt Strike'i majakad saaksid turvatuvastusest mööda minna.
LockBit 3.0 on kasutatud ka VMWare'i käsurea, mida tuntakse nime all VMwareXferlogs.exe, ärakasutamiseks Cobalt Strike'i kasulike koormuste taaskasutamiseks. Pole teada, kas need rünnakud jätkuvad või arenevad millekski muuks.
On ilmne, et LockBiti lunavara on suur risk, nagu see on paljude lunavaraprogrammide puhul. Niisiis, kuidas saate end kaitsta?
Kuidas kaitsta end LockBiti lunavara eest
Arvestades, et failide krüptimiseks peab esmalt teie seadmes olema LockBiti lunavara, peate proovima selle allikas ära lõigata ja nakatumist täielikult ära hoida. Kuigi lunavaravastast kaitset on raske tagada, saate palju ära teha, et võimalikult palju ära hoida.
Esiteks on oluline, et te ei laadiks kunagi alla faile või tarkvaraprogramme saitidelt, mis pole täiesti legitiimsed. Mis tahes kontrollimata faili allalaadimine seadmesse võib anda lunavararündajale hõlpsa juurdepääsu teie failidele. Veenduge, et kasutate allalaadimiseks ainult usaldusväärseid ja hästi läbi vaadatud saite või tarkvara installimiseks ametlikke rakenduste poode.
Veel üks tegur, mida tuleb tähele panna, on see, et LockBiti lunavara on sageli levib kaugtöölaua protokolli (RDP) kaudu. Kui te seda tehnoloogiat ei kasuta, ei pea te selle kursori pärast muretsema. Kui aga seda teete, on oluline kaitsta oma RDP-võrku paroolikaitse, VPN-ide ja protokolli desaktiveerimisega, kui seda otseselt ei kasutata. Lunavaraoperaatorid otsivad sageli Internetti haavatavate RDP-ühenduste leidmiseks, nii et täiendavate kaitsekihtide lisamine muudab teie RDP-võrgu rünnakutele vähem vastuvõtlikuks.
Lunavara võib levida ka andmepüügi kaudu, mis on väga populaarne nakatumis- ja andmevargusviis, mida pahatahtlikud osalejad kasutavad. Andmepüüki kasutatakse enamasti e-kirjade kaudu, kus ründaja lisab meili sisule pahatahtliku lingi, millel ta veenab ohvrit klõpsama. See link viib pahatahtlikule veebisaidile, mis võib hõlbustada pahavara nakatumist.
Andmepüüki saab vältida mitmel viisil, sealhulgas kasutades rämpspostivastaseid e-posti funktsioone, linke kontrollivad veebisaididja viirusetõrjetarkvara. Samuti peaksite kontrollima kõigi uute meilide saatja aadressi ja otsima kirjavigu (kuna petukirjad on sageli täis õigekirja- ja grammatilisi vigu).
LockBit on jätkuvalt globaalne oht
LockBit areneb edasi ja sihib üha rohkem ohvreid: see lunavara ei kao niipea kuhugi. Selleks, et kaitsta end LockBiti ja lunavara eest üldiselt, kaaluge mõnda ülaltoodud näpunäidet. Kuigi võite arvata, et teist ei saa kunagi sihtmärgiks, on alati mõistlik võtta tarvitusele ettevaatusabinõud.