Jeśli regularnie jesteś na bieżąco z zagrożeniami cyberbezpieczeństwa, prawdopodobnie wiesz, jak niebezpiecznie rozpowszechnione stało się oprogramowanie ransomware . Ten typ złośliwego oprogramowania stanowi główne zagrożenie dla osób i organizacji, a kilka jego odmian staje się obecnie najpopularniejszym wyborem dla złośliwych aktorów, w tym LockBit.
Czym więc jest LockBit, skąd pochodzi i jak można się chronić przed tym oprogramowaniem ransomware?
Co to jest ransomware LockBit?
Chociaż LockBit zaczynał jako pojedyncza rodzina ransomware, od tego czasu ewoluował kilka razy, a najnowsza wersja nosiła nazwę „ LockBit 3.0 ”. LockBit obejmuje rodzinę programów ransomware działających w oparciu o model Ransomware-as-a-Service (RaaS).
Ransomware-as-a-Service to model biznesowy, w którym użytkownicy płacą za dostęp do określonego typu oprogramowania ransomware, aby móc je wykorzystać do własnych ataków. Dzięki temu użytkownik staje się partnerem, a jego płatność może składać się z opłaty ryczałtowej lub usługi opartej na subskrypcji. Krótko mówiąc, twórcy LockBit znaleźli sposób na zwiększenie zysków z jego użytkowania dzięki wykorzystaniu tego modelu RaaS, a może nawet uzyskanie okupu zapłaconego przez ofiarę.
Za pośrednictwem modelu RaaS można uzyskać dostęp do kilku innych programów ransomware, w tym DarkSide i REvil. Poza tym LockBit jest obecnie jednym z najpopularniejszych programów ransomware.
Biorąc pod uwagę, że LockBit to rodzina oprogramowania ransomware, jego użycie polega na szyfrowaniu plików celu. Cyberprzestępcy w ten czy inny sposób przedostaną się do urządzenia ofiary, na przykład poprzez e-maile phishingowe lub złośliwe załączniki, a następnie użyją LockBit do zaszyfrowania wszystkich plików na urządzeniu, tak aby były one niedostępne dla użytkownika.
Po zaszyfrowaniu plików ofiary atakujący zażąda okupu w zamian za klucz deszyfrujący. Jeśli ofiara nie zastosuje się do zasad i nie zapłaci okupu, prawdopodobnie atakujący sprzeda dane w ciemnej sieci dla zysku. W zależności od rodzaju danych może to spowodować nieodwracalne uszkodzenie prywatności osoby lub organizacji, co może zwiększyć presję na zapłatę okupu.
Ale skąd pochodzi to niezwykle niebezpieczne oprogramowanie ransomware?
Pochodzenie ransomware LockBit
Nie wiadomo dokładnie, kiedy powstał LockBit, ale jest on rozpoznawany od 2019 roku, kiedy został po raz pierwszy znaleziony. Odkrycie to nastąpiło po pierwszej fali ataków LockBit, kiedy oprogramowanie ransomware otrzymało początkowo nazwę „ABCD” w nawiązaniu do nazw rozszerzeń zaszyfrowanych plików wykorzystywanych w atakach. Kiedy jednak napastnicy zaczęli zamiast tego używać rozszerzenia pliku „.lockbit”, nazwa ransomware zmieniła się na obecną.
Popularność LockBit wzrosła po opracowaniu jego drugiej wersji, LockBit 2.0. Pod koniec 2021 r. LockBit 2.0 był coraz częściej wykorzystywany do ataków, a gdy inne gangi zajmujące się oprogramowaniem ransomware zostały zamknięte, LockBit był w stanie wykorzystać lukę na rynku.
W rzeczywistości rosnące wykorzystanie LockBit 2.0 ugruntowało jego pozycję jako „najszerzej wdrażanego i najskuteczniejszego wariantu oprogramowania ransomware, jaki zaobserwowaliśmy spośród wszystkich naruszeń oprogramowania ransomware” w pierwszym kwartale 2022 r.” – wynika z raportu Palo Alto. Co więcej, Palo Alto stwierdził w tym samym raporcie, że operatorzy LockBit twierdzą, że mają najszybsze oprogramowanie szyfrujące spośród wszystkich obecnie aktywnych ransomware.
Ransomware LockBit zostało wykryte w wielu krajach na całym świecie, w tym w Chinach, USA, Francji, Ukrainie, Wielkiej Brytanii i Indiach. LockBit stał się także celem kilku dużych organizacji, w tym Accenture, irlandzko-amerykańskiej firmy świadczącej usługi profesjonalne.
W 2021 r. firma Accenture doświadczyła naruszenia bezpieczeństwa danych przy użyciu LockBit, w związku z czym napastnicy zażądali ogromnego okupu w wysokości 50 milionów dolarów i zaszyfrowali ponad 6 TB danych. Accenture nie zgodziło się zapłacić tego okupu, choć firma potwierdziła, że atak nie dotknął żadnego klienta.
LockBit 3.0 i związane z nim zagrożenia
Wraz ze wzrostem popularności LockBit każdy nowy wariant stanowi poważny problem. Najnowsza wersja LockBit, zwana LockBit 3.0, stała się problemem, szczególnie w systemach operacyjnych Windows.
Latem 2022 roku LockBit 3.0 został wykorzystany do załadowania złośliwych ładunków Cobalt Strike na docelowe urządzenia za pośrednictwem exploitów Windows Defender. W tej fali ataków wykonywalny plik wiersza poleceń o nazwie MpCmdRun.exe został nadużyty, aby sygnały nawigacyjne Cobalt Strike mogły ominąć wykrywanie zabezpieczeń.
LockBit 3.0 został również wykorzystany do wykorzystania wiersza poleceń VMWare o nazwie VMwareXferlogs.exe w celu ponownego wdrożenia ładunku Cobalt Strike. Nie wiadomo, czy ataki te będą kontynuowane, czy też przerodzą się w coś zupełnie innego.
Oczywiste jest, że oprogramowanie ransomware LockBit wiąże się z wysokim ryzykiem, podobnie jak w przypadku wielu programów ransomware. Jak zatem zapewnić sobie bezpieczeństwo?
Jak chronić się przed oprogramowaniem ransomware LockBit
Ponieważ ransomware LockBit musi najpierw być obecny na Twoim urządzeniu, aby szyfrować pliki, musisz przede wszystkim całkowicie zapobiec infekcji. Choć zapewnienie ochrony przed oprogramowaniem ransomware jest trudne, można wiele zrobić.
Po pierwsze, nigdy nie pobieraj żadnych plików ani programów ze stron internetowych, które nie są całkowicie legalne. Pobranie dowolnego rodzaju niezweryfikowanego pliku na urządzenie może zapewnić osobom atakującym oprogramowanie ransomware łatwy dostęp do Twoich plików. Upewnij się, że korzystasz wyłącznie z zaufanych i dobrze ocenianych witryn do pobierania lub oficjalnych sklepów z aplikacjami do instalowania oprogramowania.
Innym czynnikiem, o którym należy pamiętać, jest to, że oprogramowanie ransomware LockBit jest często rozprzestrzeniane za pośrednictwem protokołu Remote Desktop Protocol (RDP). Jeśli nie korzystasz z tej technologii, nie musisz się zbytnio martwić. Jeśli jednak to zrobisz, ważne jest, aby zabezpieczyć swoją sieć RDP, korzystając z ochrony hasłem, VPN i dezaktywując protokół, gdy nie jest on bezpośrednio używany. Operatorzy oprogramowania ransomware często skanują Internet w poszukiwaniu podatnych na ataki połączeń RDP, więc dodanie dodatkowych warstw ochrony sprawi, że Twoja sieć RDP będzie mniej podatna na ataki.
Oprogramowanie ransomware może być również rozprzestrzeniane poprzez phishing – niezwykle powszechną metodę infekcji i kradzieży danych wykorzystywaną przez złośliwe podmioty. Phishing jest najczęściej stosowany za pośrednictwem poczty elektronicznej, gdzie osoba atakująca dołącza do treści wiadomości złośliwe łącze, które ma przekonać ofiarę do kliknięcia. Link ten prowadzi do złośliwej strony internetowej, która może ułatwić infekcję złośliwym oprogramowaniem.
Wyłudzania informacji można unikać na wiele sposobów, w tym za pomocą funkcji antyspamowych, witryn sprawdzających linki i oprogramowania antywirusowego. Powinieneś także zweryfikować adres nadawcy każdej nowej wiadomości e-mail i przeskanować ją pod kątem błędów ortograficznych (ponieważ wiadomości e-mail phishingowe często zawierają wiele błędów ortograficznych i gramatycznych).
LockBit w dalszym ciągu staje się globalnym zagrożeniem
LockBit wciąż się rozwija i atakuje coraz więcej ofiar: to oprogramowanie ransomware nie pojawi się w najbliższym czasie. Aby zabezpieczyć się przed LockBit i oprogramowaniem ransomware, rozważ niektóre z powyższych wskazówek. Chociaż możesz myśleć, że nigdy nie staniesz się celem, i tak powinieneś podjąć niezbędne środki ostrożności.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
