Kradzieże, wymuszenia i podszywanie się są w Internecie powszechne, a tysiące ludzi co miesiąc pada ofiarą różnych oszustw i ataków. Jedna z takich metod ataku wykorzystuje rodzaj oprogramowania ransomware o nazwie LockBit 3.0. Skąd więc pochodzi to oprogramowanie ransomware, w jaki sposób jest wykorzystywane i co możesz zrobić, aby się chronić?
Skąd pochodzi LockBit 3.0?
LockBit 3.0
LockBit 3.0 (znany również jako LockBit Black) to rodzina ransomware wywodząca się z rodziny ransomware LockBit. Jest to grupa programów ransomware, które po raz pierwszy wykryto we wrześniu 2019 r., po pierwszej fali ataków. Początkowo LockBit nosił nazwę „wirusa .abcd”, ale wówczas nie było wiadomo, że twórcy i użytkownicy LockBit będą nadal tworzyć nowe wersje oryginalnego programu ransomware.
Rodzina ransomware LockBit rozprzestrzenia się, ale celem są tylko niektóre ofiary – głównie te, które mogą sobie pozwolić na zapłacenie dużego okupu. Osoby korzystające z ransomware LockBit często wykupują dostęp do protokołu RDP (Remote Desktop Protocol) w ciemnej sieci , dzięki czemu mogą uzyskać zdalny i łatwiejszy dostęp do urządzeń ofiar.
Od pierwszego użycia operatorzy LockBit obrali za cel wiele organizacji na całym świecie, w tym Wielką Brytanię, USA, Ukrainę i Francję. Ta rodzina szkodliwych programów wykorzystuje model oprogramowania ransomware jako usługi (RaaS), w którym użytkownicy mogą płacić operatorom za uzyskanie dostępu do określonego typu oprogramowania ransomware. Zwykle wiąże się to z jakąś formą rejestracji. Czasami użytkownicy mogą nawet sprawdzić statystyki, aby sprawdzić, czy użycie ransomware LockBit zakończyło się sukcesem, czy nie.
Popularnym oprogramowaniem ransomware stało się dopiero w 2021 roku dzięki LockBit 2.0 (poprzednik obecnej odmiany oprogramowania ransomware). W tym momencie gangi korzystające z tego oprogramowania ransomware zdecydowały się przyjąć model podwójnego wymuszenia. Obejmuje to zarówno szyfrowanie, jak i eksfiltrację (lub przesyłanie) plików ofiary na inne urządzenie. Ta dodatkowa metoda ataku sprawia, że cała sytuacja jest bardziej przerażająca dla docelowej osoby lub organizacji.
Najnowszy zidentyfikowany typ ransomware LockBit to LockBit 3.0. Jak więc działa LockBit 3.0 i jak jest dziś wykorzystywany?
Co to jest LockBit 3.0?
LockBit 3.0 może szyfrować i wydobywać wszystkie pliki z zainfekowanego urządzenia
Późną wiosną 2022 roku odkryto nową wersję grupy ransomware LockBit: LockBit 3.0. Jako program ransomware LockBit 3.0 może szyfrować i eksfiltrować wszystkie pliki na zainfekowanym urządzeniu, umożliwiając atakującym przetrzymywanie danych ofiary jako zakładników do czasu zapłacenia żądanego okupu. To oprogramowanie ransomware szaleje obecnie i powoduje wiele obaw.
Przebieg typowego ataku LockBit 3.0 jest następujący:
1. LockBit 3.0 infekuje urządzenie ofiary, szyfruje pliki i dołącza zaszyfrowane rozszerzenie pliku „HLjkNskOq”.
2. Następnie do wykonania szyfrowania potrzebny jest klucz argumentu wiersza poleceń o nazwie „-pass” .
3. LockBit 3.0 tworzy wiele różnych wątków, aby wykonywać wiele zadań jednocześnie, dzięki czemu szyfrowanie danych można zakończyć w krótszym czasie.
4. LockBit 3.0 usuwa niektóre usługi lub funkcje, aby znacznie ułatwić proces szyfrowania i filtrowania.
5. Interfejs API służy do kontrolowania dostępu menedżera kontroli usług do bazy danych.
6. Tapeta komputera ofiary zostaje zmieniona, aby wiedziała, że jest atakowana.
Jeśli ofiary nie zapłacą okupu w wyznaczonym terminie, napastnicy LockBit 3.0 sprzedają dane, które ukradli w ciemnej sieci, innym cyberprzestępcom. Może to być katastrofalne zarówno dla ofiary, jak i organizacji.
W momencie pisania tego tekstu LockBit 3.0 wykorzystuje przede wszystkim program Windows Defender do wdrażania Cobalt Strike . To oprogramowanie może również powodować łańcuch infekcji złośliwym oprogramowaniem na wielu urządzeniach.
Podczas tego procesu wykorzystywane jest narzędzie wiersza poleceń MpCmdRun.exe, dzięki czemu osoba atakująca może odszyfrować i uruchomić ostrzeżenia. Odbywa się to poprzez oszukanie systemu, aby nadał priorytet i załadował złośliwą bibliotekę DLL (Dynamic-Link Library).
Plik wykonywalny MpCmdRun.exe jest używany przez program Windows Defender do skanowania w poszukiwaniu złośliwego oprogramowania, chroniąc w ten sposób urządzenie przed szkodliwymi plikami i programami. Cobalt Strike może ominąć zabezpieczenia Windows Defender, dlatego stał się bardzo przydatny dla atakujących ransomware.
Technika ta jest również znana jako sideloading i umożliwia złym aktorom kradzież danych z zainfekowanych urządzeń.
Jak zapobiec oprogramowaniu ransomware LockBit 3.0?
LockBit 3.0 budzi coraz większe obawy, szczególnie wśród dużych organizacji posiadających dużą ilość danych, które można zaszyfrować i wydobyć. Ważne jest, aby unikać tego typu niebezpiecznych ataków.
Aby to zrobić, upewnij się najpierw, że używasz bardzo silnych haseł i uwierzytelniania dwuskładnikowego na wszystkich swoich kontach. Ta dodatkowa warstwa zabezpieczeń może utrudnić cyberprzestępcom atakowanie Cię oprogramowaniem ransomware. Rozważmy na przykład ataki ransomware protokołu Remote Desktop Protocol. W takim przypadku osoba atakująca przeskanuje Internet w poszukiwaniu podatnych na ataki połączeń RDP. Jeśli więc Twoje połączenie jest chronione hasłem i wykorzystuje technologię 2FA, prawdopodobieństwo, że staniesz się celem, będzie znacznie mniejsze.
Ponadto należy zawsze aktualizować system operacyjny i program antywirusowy na swoim urządzeniu. Aktualizacje oprogramowania mogą być czasochłonne i irytujące, ale nie bez powodu istnieją. Takie aktualizacje często zawierają poprawki błędów i dodatkowe funkcje zabezpieczeń, które chronią Twoje urządzenie i dane, więc nie przegap okazji, aby zaktualizować swoje urządzenie.
Kolejnym ważnym środkiem, który należy podjąć, aby uniknąć ataków oprogramowania ransomware, jest tworzenie kopii zapasowych plików. Czasami napastnicy oprogramowania ransomware zatajają ważne informacje, których potrzebujesz z różnych powodów, więc utworzenie kopii zapasowej w pewnym stopniu złagodzi szkody. Kopie offline, takie jak te przechowywane na pamięciach USB, mogą być bezcenne w przypadku kradzieży lub usunięcia danych z urządzenia.
Środki po zainfekowaniu oprogramowaniem ransomware
Chociaż powyższe sugestie mogą chronić Cię przed oprogramowaniem ransomware LockBit, nadal istnieje możliwość infekcji. Jeśli więc odkryjesz, że Twój komputer został zainfekowany wirusem LockBit 3.0, ważne jest, aby nie działać pochopnie. Istnieją kroki, które możesz podjąć, aby usunąć oprogramowanie ransomware ze swojego urządzenia, których powinieneś dokładnie przestrzegać.
Powinieneś także powiadomić władze, jeśli padłeś ofiarą ataku oprogramowania ransomware. Pomaga to zainteresowanym stronom lepiej zrozumieć niektóre typy oprogramowania ransomware i zająć się nimi.
Nikt nie wie, ile jeszcze razy oprogramowanie ransomware LockBit 3.0 będzie wykorzystywane do grożenia ofiarom i wykorzystywania ich. Dlatego tak ważne jest, aby chronić swoje urządzenia i konta w każdy możliwy sposób, aby Twoje wrażliwe dane pozostały bezpieczne.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
