Diefstal, afpersing en nabootsing van identiteit zijn schering en inslag op het internet, waarbij maandelijks duizenden mensen het slachtoffer worden van verschillende vormen van oplichting en aanvallen. Eén zo’n aanvalsmethode maakt gebruik van een type ransomware genaamd LockBit 3.0. Dus waar komt deze ransomware vandaan, hoe wordt deze gebruikt en wat kunt u doen om uzelf te beschermen?
Waar komt LockBit 3.0 vandaan?
LockBit 3.0
LockBit 3.0 (ook bekend als LockBit Black) is een ransomware-familie die voortkomt uit de LockBit-ransomwarefamilie. Dit is een groep ransomwareprogramma’s die voor het eerst werd ontdekt in september 2019, nadat de eerste aanvalsgolf had plaatsgevonden. Aanvankelijk heette LockBit het ".abcd-virus", maar destijds was het niet bekend dat de makers en gebruikers van LockBit door zouden gaan met het maken van nieuwe versies van het originele ransomwareprogramma.
De ransomware-familie van LockBit verspreidt zichzelf, maar alleen bepaalde slachtoffers zijn het doelwit, vooral degenen die het zich kunnen veroorloven een groot losgeld te betalen. Degenen die LockBit-ransomware gebruiken, kopen vaak Remote Desktop Protocol (RDP)-toegang op het dark web , zodat ze op afstand en gemakkelijker toegang kunnen krijgen tot de apparaten van slachtoffers.
De operators van LockBit hebben zich sinds het eerste gebruik op meerdere organisaties over de hele wereld gericht, waaronder het VK, de VS, Oekraïne en Frankrijk. Deze familie van kwaadaardige programma's maakt gebruik van een Ransomware-as-a-Service (RaaS)-model, waarbij gebruikers operators kunnen betalen om toegang te krijgen tot een bepaald type ransomware. Meestal gaat het om een vorm van registratie. Soms kunnen gebruikers zelfs de statistieken bekijken om te zien of het gebruik van de LockBit-ransomware succesvol was of niet.
Pas in 2021 werd LockBit een populaire ransomware, dankzij LockBit 2.0 (de voorloper van de huidige ransomware-soort). Op dat moment besloten de bendes die deze ransomware gebruikten een dubbel afpersingsmodel te hanteren. Dit omvat zowel versleuteling als exfiltratie (of overdracht) van de bestanden van het slachtoffer naar een ander apparaat. Deze aanvullende aanvalsmethode maakt de hele situatie enger voor het beoogde individu of de beoogde organisatie.
Het meest recente type LockBit-ransomware dat is geïdentificeerd, is LockBit 3.0. Dus hoe werkt LockBit 3.0 en hoe wordt het vandaag de dag gebruikt?
Wat is LockBit 3.0?
LockBit 3.0 kan alle bestanden op het geïnfecteerde apparaat versleutelen en exfiltreren
Eind voorjaar 2022 werd een nieuwe versie van de LockBit-ransomwaregroep ontdekt: LockBit 3.0. Als ransomwareprogramma kan LockBit 3.0 alle bestanden op een geïnfecteerd apparaat versleutelen en exfiltreren, waardoor aanvallers de gegevens van het slachtoffer kunnen gijzelen totdat het gevraagde losgeld is betaald. Deze ransomware is momenteel wijdverspreid en veroorzaakt veel zorgen.
Het verloop van een typische LockBit 3.0-aanval is:
1. LockBit 3.0 infecteert het apparaat van het slachtoffer, codeert bestanden en voegt de gecodeerde bestandsextensie "HLjkNskOq" toe.
2. Vervolgens is een opdrachtregelargumentsleutel met de naam "-pass" nodig om de codering uit te voeren.
3. LockBit 3.0 creëert veel verschillende threads om meerdere taken tegelijkertijd uit te voeren, zodat de gegevenscodering in minder tijd kan worden voltooid.
4. LockBit 3.0 verwijdert bepaalde services of functies om het coderings- en filterproces veel eenvoudiger te maken.
5. Er wordt een API gebruikt om de databasetoegang van de servicecontrolemanager te beheren.
6. De computerachtergrond van het slachtoffer wordt gewijzigd, zodat hij weet dat hij wordt aangevallen.
Als slachtoffers het losgeld niet binnen de toegestane periode betalen, verkopen LockBit 3.0-aanvallers de gegevens die ze op het dark web hebben gestolen aan andere cybercriminelen. Dit kan desastreus zijn voor zowel het slachtoffer als de organisatie.
Op het moment van schrijven maakt LockBit 3.0 vooral gebruik van Windows Defender om Cobalt Strike te implementeren . Deze software kan ook een reeks malware-infecties op meerdere apparaten veroorzaken.
Tijdens dit proces wordt het opdrachtregelprogramma MpCmdRun.exe misbruikt, zodat de aanvaller waarschuwingen kan decoderen en starten. Dit wordt gedaan door het systeem te misleiden om prioriteiten te stellen en een kwaadaardige DLL (Dynamic-Link Library) te laden.
Het uitvoerbare bestand MpCmdRun.exe wordt door Windows Defender gebruikt om te scannen op malware, waardoor het apparaat wordt beschermd tegen schadelijke bestanden en programma's. Cobalt Strike kan de beveiligingsmaatregelen van Windows Defender omzeilen, dus het is erg handig geworden voor ransomware-aanvallers.
Deze techniek staat ook bekend als sideloading en stelt kwaadwillenden in staat gegevens van geïnfecteerde apparaten te stelen.
Hoe LockBit 3.0-ransomware voorkomen?
LockBit 3.0 is een groeiend probleem, vooral onder grote organisaties met veel gegevens die kunnen worden gecodeerd en geëxfiltreerd. Het is belangrijk ervoor te zorgen dat u dit soort gevaarlijke aanvallen vermijdt.
Om dit te doen, moet u er eerst voor zorgen dat u supersterke wachtwoorden en tweefactorauthenticatie voor al uw accounts gebruikt. Deze extra beveiligingslaag kan het voor cybercriminelen moeilijker maken om u aan te vallen met ransomware. Denk bijvoorbeeld aan Remote Desktop Protocol ransomware-aanvallen. In een dergelijk geval scant de aanvaller het internet op kwetsbare RDP-verbindingen. Dus als uw verbinding met een wachtwoord is beveiligd en 2FA gebruikt, is de kans veel kleiner dat u wordt getarget.
Bovendien moet u het besturingssysteem en het antivirusprogramma op uw apparaat altijd up-to-date houden. Software-updates kunnen tijdrovend en vervelend zijn, maar er is een reden waarom ze bestaan. Dergelijke updates worden vaak geleverd met bugfixes en extra beveiligingsfuncties om uw apparaat en gegevens te beschermen, dus mis de kans niet om uw apparaat bij te werken.
Een andere belangrijke maatregel die u moet nemen om ransomware-aanvallen te voorkomen, is het maken van back-ups van bestanden. Soms houden ransomware-aanvallers om verschillende redenen belangrijke informatie achter die u nodig heeft, dus het hebben van een back-up zal de schade tot op zekere hoogte beperken. Offlinekopieën, zoals kopieën die op USB-sticks zijn opgeslagen, kunnen van onschatbare waarde zijn wanneer gegevens van uw apparaat worden gestolen of verwijderd.
Maatregelen na besmetting met ransomware
Hoewel de bovenstaande suggesties u kunnen beschermen tegen de LockBit-ransomware, is het nog steeds mogelijk om te infecteren. Als u dus ontdekt dat uw computer is geïnfecteerd met het LockBit 3.0-virus, is het belangrijk om niet overhaast te handelen. Er zijn stappen die u kunt nemen om ransomware van uw apparaat te verwijderen en die u zorgvuldig moet volgen.
U moet de autoriteiten ook op de hoogte stellen als u het slachtoffer bent van een ransomware-aanval. Dit helpt belanghebbenden bepaalde soorten ransomware beter te begrijpen en aan te pakken.
Niemand weet hoeveel keer de LockBit 3.0-ransomware zal worden gebruikt om slachtoffers te bedreigen en uit te buiten. Daarom is het belangrijk om uw apparaten en accounts op alle mogelijke manieren te beschermen, zodat uw gevoelige gegevens veilig blijven.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
