Roubo, extorsão e falsificação de identidade são comuns online, com milhares de pessoas sendo vítimas de vários golpes e ataques todos os meses. Um desses métodos de ataque usa um tipo de ransomware chamado LockBit 3.0. Então, de onde vem esse ransomware, como ele é usado e o que você pode fazer para se proteger?
De onde vem o LockBit 3.0?
Bloqueio 3.0
LockBit 3.0 (também conhecido como LockBit Black) é uma família de ransomware nascida da família de ransomware LockBit. Este é um grupo de programas de ransomware que foram descobertos pela primeira vez em setembro de 2019, após a ocorrência da primeira onda de ataques. Inicialmente, o LockBit era chamado de “vírus .abcd”, mas na época não se sabia que os criadores e usuários do LockBit continuariam a criar novas versões do programa ransomware original.
A família de ransomware do LockBit se espalha, mas apenas algumas vítimas são visadas – principalmente aquelas que podem pagar um grande resgate. Aqueles que usam o ransomware LockBit geralmente compram acesso ao Remote Desktop Protocol (RDP) na dark web para que possam acessar os dispositivos das vítimas de maneira mais remota e fácil.
Os operadores do LockBit têm como alvo várias organizações em todo o mundo desde a sua primeira utilização, incluindo o Reino Unido, os EUA, a Ucrânia e a França. Esta família de programas maliciosos utiliza um modelo Ransomware-as-a-Service (RaaS), no qual os usuários podem pagar aos operadores para obter acesso a um determinado tipo de ransomware. Isso geralmente envolve alguma forma de registro. Às vezes, os usuários podem até verificar as estatísticas para ver se o uso do ransomware LockBit foi bem-sucedido ou não.
Somente em 2021 o LockBit se tornou um ransomware popular, por meio do LockBit 2.0 (o antecessor da atual variedade de ransomware). Neste ponto, as gangues que usam este ransomware decidiram adotar um modelo duplo de extorsão. Isso envolve criptografia e exfiltração (ou transferência) dos arquivos da vítima para outro dispositivo. Este método adicional de ataque torna toda a situação mais assustadora para o indivíduo ou organização visada.
O tipo mais recente de ransomware LockBit identificado é o LockBit 3.0. Então, como funciona o LockBit 3.0 e como é usado hoje?
O que é o LockBit 3.0?
LockBit 3.0 pode criptografar e exfiltrar todos os arquivos do dispositivo infectado
No final da primavera de 2022, uma nova versão do grupo de ransomware LockBit foi descoberta: LockBit 3.0. Como um programa de ransomware, o LockBit 3.0 pode criptografar e exfiltrar todos os arquivos em um dispositivo infectado, permitindo que os invasores mantenham os dados da vítima como reféns até que o resgate solicitado seja pago. Este ransomware está atualmente em alta e causando muita preocupação.
O fluxo de um ataque típico do LockBit 3.0 é:
1. LockBit 3.0 infecta o dispositivo da vítima, criptografa arquivos e anexa a extensão de arquivo criptografado "HLjkNskOq".
2. Em seguida, uma chave de argumento de linha de comando chamada "-pass" é necessária para realizar a criptografia.
3. O LockBit 3.0 cria muitos threads diferentes para executar várias tarefas simultaneamente, para que a criptografia de dados possa ser concluída em menos tempo.
4. O LockBit 3.0 remove certos serviços ou recursos para tornar o processo de criptografia e filtragem muito mais fácil.
5. Uma API é usada para conter o acesso ao banco de dados do gerenciador de controle de serviço.
6. O papel de parede do computador da vítima é alterado para que ela saiba que está sendo atacada.
Se as vítimas não pagarem o resgate dentro do prazo permitido, os invasores do LockBit 3.0 venderão os dados que roubaram na dark web para outros criminosos cibernéticos. Isso pode ser desastroso tanto para a vítima quanto para a organização.
No momento em que este artigo foi escrito, o LockBit 3.0 explorava principalmente o Windows Defender para implantar o Cobalt Strike . Este software também pode causar uma cadeia de infecções por malware em vários dispositivos.
Durante esse processo, a ferramenta de linha de comando MpCmdRun.exe é explorada para que o invasor possa descriptografar e lançar avisos. Isso é feito enganando o sistema para que ele priorize e carregue uma DLL (Dynamic-Link Library) maliciosa.
O arquivo executável MpCmdRun.exe é usado pelo Windows Defender para verificar malware, protegendo assim o dispositivo contra arquivos e programas prejudiciais. O Cobalt Strike pode contornar as medidas de segurança do Windows Defender, por isso se tornou muito útil para invasores de ransomware.
Essa técnica também é conhecida como sideload e permite que malfeitores roubem dados de dispositivos infectados.
Como prevenir o ransomware LockBit 3.0?
O LockBit 3.0 é uma preocupação crescente, especialmente entre grandes organizações com muitos dados que podem ser criptografados e exfiltrados. É importante garantir que você evite esse tipo de ataque perigoso.
Para fazer isso, primeiro você deve usar senhas superfortes e autenticação de dois fatores em todas as suas contas. Essa camada extra de segurança pode tornar mais difícil para os cibercriminosos atacarem você com ransomware. Por exemplo, considere os ataques de ransomware do Remote Desktop Protocol. Nesse caso, o invasor fará a varredura na Internet em busca de conexões RDP vulneráveis. Portanto, se sua conexão for protegida por senha e usar 2FA, é muito menos provável que você seja um alvo.
Além disso, você deve sempre manter o sistema operacional e o programa antivírus do seu dispositivo atualizados. As atualizações de software podem ser demoradas e irritantes, mas há uma razão para elas existirem. Essas atualizações geralmente vêm com correções de bugs e recursos de segurança adicionais para manter seu dispositivo e seus dados protegidos, portanto, não perca a oportunidade de atualizar seu dispositivo.
Outra medida importante a ser tomada para evitar ataques de ransomware é fazer backup dos arquivos. Às vezes, os invasores de ransomware retêm informações importantes de que você precisa por vários motivos; portanto, ter um backup atenuará os danos até certo ponto. Cópias off-line, como aquelas armazenadas em pen drives, podem ser inestimáveis quando dados são roubados ou excluídos do seu dispositivo.
Medidas após ser infectado por ransomware
Embora as sugestões acima possam protegê-lo do ransomware LockBit, ainda é possível infectar. Portanto, se você descobrir que seu computador foi infectado pelo vírus LockBit 3.0, é importante não agir precipitadamente. Existem etapas que você pode seguir para remover o ransomware do seu dispositivo e que deve seguir cuidadosamente.
Você também deve notificar as autoridades se for vítima de um ataque de ransomware. Isso ajuda as partes interessadas a compreender e lidar melhor com certos tipos de ransomware.
Ninguém sabe quantas vezes mais o ransomware LockBit 3.0 será usado para ameaçar e explorar as vítimas. É por isso que é importante proteger seus dispositivos e contas de todas as maneiras possíveis para que seus dados confidenciais permaneçam seguros.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
