Furtul, extorcarea și uzurparea identității sunt răspândite online, mii de oameni fiind victime în fiecare lună a diferitelor escrocherii și atacuri. O astfel de metodă de atac folosește un tip de ransomware numit LockBit 3.0. Deci, de unde vine acest ransomware, cum este folosit și ce puteți face pentru a vă proteja?
De unde vine LockBit 3.0?
LockBit 3.0
LockBit 3.0 (cunoscut și ca LockBit Black) este o familie de ransomware născută din familia de ransomware LockBit. Acesta este un grup de programe ransomware care au fost descoperite pentru prima dată în septembrie 2019, după ce a avut loc primul val de atacuri. Inițial, LockBit a fost numit „.abcd virus”, dar la momentul respectiv nu se știa că creatorii și utilizatorii LockBit vor continua să creeze noi versiuni ale programului original ransomware.
Familia de ransomware LockBit se răspândește, dar sunt vizate doar anumite victime - în principal cele care își permit să plătească o răscumpărare mare. Cei care folosesc ransomware LockBit achiziționează adesea acces Remote Desktop Protocol (RDP) pe dark web, astfel încât să poată accesa dispozitivele victimelor de la distanță și mai ușor.
Operatorii LockBit au vizat mai multe organizații din întreaga lume de la prima utilizare, inclusiv Marea Britanie, SUA, Ucraina și Franța. Această familie de programe rău intenționate folosește un model Ransomware-as-a-Service (RaaS), în care utilizatorii pot plăti operatorii pentru a obține acces la un anumit tip de ransomware. Aceasta implică de obicei o formă de înregistrare. Uneori, utilizatorii pot chiar să verifice statisticile pentru a vedea dacă utilizarea ransomware-ului LockBit a avut succes sau nu.
Abia în 2021, LockBit a devenit un ransomware popular, prin LockBit 2.0 (predecesorul tulpinii actuale de ransomware). În acest moment, bandele care folosesc acest ransomware au decis să adopte un model de extorcare dublă. Aceasta implică atât criptarea, cât și exfiltrarea (sau transferul) fișierelor victimei pe un alt dispozitiv. Această metodă suplimentară de atac face ca întreaga situație să fie mai înfricoșătoare pentru persoana sau organizația vizată.
Cel mai recent tip de ransomware LockBit identificat este LockBit 3.0. Deci, cum funcționează LockBit 3.0 și cum este folosit astăzi?
Ce este LockBit 3.0?
LockBit 3.0 poate cripta și exfiltra toate fișierele de pe dispozitivul infectat
La sfârșitul primăverii 2022, a fost descoperită o nouă versiune a grupului de ransomware LockBit: LockBit 3.0. Ca program ransomware, LockBit 3.0 poate cripta și exfiltra toate fișierele de pe un dispozitiv infectat, permițând atacatorilor să țină ostatici datele victimei până când răscumpărarea solicitată este plătită. Acest ransomware rulează în prezent și provoacă multă îngrijorare.
Fluxul unui atac tipic LockBit 3.0 este:
1. LockBit 3.0 infectează dispozitivul victimei, criptează fișierele și atașează extensia de fișier criptată „HLjkNskOq”.
2. Apoi, este necesară o cheie de argument în linia de comandă numită „-pass” pentru a efectua criptarea.
3. LockBit 3.0 creează multe fire diferite pentru a efectua mai multe sarcini simultan, astfel încât criptarea datelor să poată fi finalizată în mai puțin timp.
4. LockBit 3.0 elimină anumite servicii sau caracteristici pentru a face procesul de criptare și filtrare mult mai ușor.
5. Un API este utilizat pentru a conține accesul la baza de date a managerului de control al serviciului.
6. Imaginea de fundal a computerului victimei este schimbată astfel încât să știe că este atacată.
Dacă victimele nu plătesc răscumpărarea în perioada de timp permisă, atacatorii LockBit 3.0 vor vinde apoi datele pe care le-au furat pe dark web altor criminali cibernetici. Acest lucru poate fi dezastruos atât pentru victimă, cât și pentru organizație.
La momentul scrierii, LockBit 3.0 exploatează în special Windows Defender pentru a implementa Cobalt Strike . Acest software poate provoca, de asemenea, un lanț de infecții malware pe mai multe dispozitive.
În timpul acestui proces, instrumentul de linie de comandă MpCmdRun.exe este exploatat, astfel încât atacatorul să poată decripta și lansa avertismente. Acest lucru se face prin păcălirea sistemului să prioritizeze și să încarce un DLL (Dynamic-Link Library) rău intenționat.
Fișierul executabil MpCmdRun.exe este folosit de Windows Defender pentru a scana pentru malware, protejând astfel dispozitivul de fișiere și programe dăunătoare. Cobalt Strike poate ocoli măsurile de securitate Windows Defender, așa că a devenit foarte util pentru atacatorii de ransomware.
Această tehnică este cunoscută și sub numele de încărcare laterală și permite actorilor răi să fure date de pe dispozitivele infectate.
Cum să preveniți ransomware-ul LockBit 3.0?
LockBit 3.0 este o preocupare din ce în ce mai mare, în special în rândul organizațiilor mari, cu o mulțime de date care pot fi criptate și exfiltrate. Este important să vă asigurați că evitați acest tip de atac periculos.
Pentru a face acest lucru, ar trebui mai întâi să vă asigurați că utilizați parole foarte puternice și autentificare cu doi factori în toate conturile dvs. Acest nivel suplimentar de securitate poate îngreuna infractorii cibernetici să vă atace cu ransomware. De exemplu, luați în considerare atacurile ransomware Remote Desktop Protocol. Într-un astfel de caz, atacatorul va scana Internetul pentru conexiuni RDP vulnerabile. Deci, dacă conexiunea dvs. este protejată prin parolă și folosește 2FA, este mult mai puțin probabil să fiți vizat.
În plus, ar trebui să păstrați întotdeauna actualizat sistemul de operare și programul antivirus de pe dispozitiv. Actualizările de software pot fi consumatoare de timp și enervante, dar există un motiv pentru care există. Astfel de actualizări vin adesea cu remedieri de erori și funcții de securitate suplimentare pentru a vă proteja dispozitivul și datele, așa că nu ratați ocazia de a vă actualiza dispozitivul.
O altă măsură importantă de luat pentru a evita atacurile ransomware este să faceți copii de rezervă ale fișierelor. Uneori, atacatorii ransomware vor reține informațiile importante de care aveți nevoie din diverse motive, astfel încât să aveți o copie de rezervă va atenua într-o oarecare măsură daunele. Copiile offline, cum ar fi cele stocate pe stick-uri USB, pot fi de neprețuit atunci când datele sunt furate sau șterse de pe dispozitiv.
Măsuri după infectarea cu ransomware
Deși sugestiile de mai sus vă pot proteja de ransomware-ul LockBit, este totuși posibil să infectați. Deci, dacă descoperiți că computerul dvs. a fost infectat cu virusul LockBit 3.0, este important să nu acționați în grabă. Există pași pe care îi puteți lua pentru a elimina ransomware-ul de pe dispozitiv, pe care ar trebui să îi urmați cu atenție.
De asemenea, ar trebui să anunțați autoritățile dacă sunteți victima unui atac ransomware. Acest lucru ajută părțile interesate să înțeleagă și să abordeze mai bine anumite tipuri de ransomware.
Nimeni nu știe de câte ori va fi folosit ransomware-ul LockBit 3.0 pentru a amenința și exploata victimele. De aceea, este important să vă protejați dispozitivele și conturile în toate modurile posibile, astfel încât datele dvs. sensibile să rămână în siguranță.
Vedeți o notificare de activare a Windows 10 în colțul din dreapta al ecranului? Acest articol vă va ghida cum să ștergeți notificarea de solicitare a drepturilor de autor pe Windows 10.
Recent, Microsoft a lansat cea mai recentă actualizare cumulativă pentru utilizatorii de PC Windows 10 numită Build 14393.222. Această actualizare lansată pentru Windows 10 remediază în principal erorile pe baza feedback-ului utilizatorilor și îmbunătățește experiența de performanță a sistemului de operare.
Aveți computere în rețeaua locală care au nevoie de acces extern? Utilizarea unei gazde bastion ca gatekeeper pentru rețeaua dvs. poate fi o soluție bună.
Uneori, poate fi necesar să ștergeți jurnalele vechi de evenimente dintr-o dată. În acest ghid, Quantrimang.com vă va arăta 3 moduri de a șterge rapid toate jurnalele de evenimente din Windows 10 Event Viewer.
Dacă preferați să utilizați o tastatură clasică veche, cum ar fi IBM Model M, care nu include o tastă fizică Windows, există o metodă ușoară de a adăuga mai multe, împrumutând o tastă pe care nu o utilizați des.
WindowTop este un instrument care are capacitatea de a estompa toate ferestrele aplicațiilor și programele care rulează pe computere cu Windows 10. Sau puteți utiliza o interfață cu fundal întunecat pe Windows.
În multe articole anterioare, am menționat că păstrarea anonimatului online este extrem de importantă. Informații private sunt scurse în fiecare an, ceea ce face securitatea online din ce în ce mai necesară. Acesta este și motivul pentru care ar trebui să folosim adrese IP virtuale. Mai jos, vom afla despre metodele de a crea IP-uri false!
Bara de limbă din Windows 8 este o bară de instrumente de limbă în miniatură concepută pentru a fi afișată automat pe ecranul desktop. Cu toate acestea, mulți oameni doresc să ascundă această bară de limbă în bara de activități.
Maximizarea vitezei de internet este esențială pentru optimizarea conexiunii la rețea. Puteți avea o experiență optimă de divertisment și de lucru folosind computere, televizoare gata de internet, console de jocuri etc.
Conectivitatea wireless este o necesitate astăzi și, din această cauză, securitatea wireless este esențială pentru a asigura siguranța în rețeaua dumneavoastră internă.
