Tyveri, afpresning, afpresning og personefterligning er udbredt online, hvor tusindvis af mennesker bliver ofre for forskellige svindelnumre og angreb hver måned. En sådan angrebsmåde bruger en slags ransomware kendt som LockBit 3.0. Så hvor kom denne ransomware fra, hvordan bliver den brugt, og hvad kan du gøre for at beskytte dig selv?

Hvor kom LockBit 3.0 fra?

LockBit 3.0 (også kendt som LockBit Black) er en stamme af ransomware, der stammer fra LockBit ransomware-familien. Dette er en gruppe af ransomware-programmer, der først blev opdaget i september 2019, efter den første bølge af angreb fandt sted. Oprindeligt blev LockBit omtalt som ".abcd-virussen", men på det tidspunkt var det ikke kendt, at LockBits skabere og brugere ville fortsætte med at skabe nye iterationer af den originale ransomware program.

LockBits familie af ransomware-programmer spreder sig selv, men kun visse ofre er målrettet - primært dem med evnen til at betale en stor løsesum. Dem, der bruger LockBit ransomware, køber ofte Remote Desktop Protocol (RDP)-adgang på det mørke web, så de kan få adgang til ofrenes enheder eksternt og nemmere.

instagram viewer

LockBits operatører har målrettet organisationer rundt om i verden siden dets første brug, herunder Storbritannien, USA, Ukraine og Frankrig. Denne familie af ondsindede programmer bruger Ransomware-as-a-Service (RaaS) model, hvor brugere kan betale operatørerne for at få adgang til en given form for ransomware. Dette involverer ofte en form for abonnement. Nogle gange kan brugere endda tjekke statistik for at se, om deres brug af LockBit ransomware var vellykket.

Det var først i 2021, at LockBit blev en udbredt form for ransomware gennem LockBit 2.0 (den nuværende stammes forgænger). På dette tidspunkt besluttede de bander, der brugte denne ransomware, at tage den dobbelte afpresningsmodel. Dette involverer både kryptering og eksfiltrering (eller overførsel) af et offers filer til en anden enhed. Denne ekstra angrebsmetode gør hele situationen endnu mere skræmmende for den målrettede person eller organisation.

Den seneste form for LockBit ransomware er blevet identificeret som LockBit 3.0. Så hvordan fungerer LockBit 3.0, og hvordan bruges det i dag?

Hvad er LockBit 3.0?

I slutningen af ​​foråret 2022 blev en ny iteration af LockBit ransomware-gruppen opdaget: LockBit 3.0. Som et ransomware-program kan LockBit 3.0 kryptere og eksfiltrer alle filerne på en inficeret enhed, så angriberen kan holde ofrets data som gidsel tilsyneladende, indtil den anmodede løsesum er betalt. Denne ransomware er nu aktiv i naturen og giver anledning til en masse bekymring.

Processen med et typisk LockBit 3.0-angreb er:

  1. LockBit 3.0 inficerer et offers enhed, krypterer filer og tilføjer udvidelsen af ​​krypterede filer som "HLjkNskOq".
  2. En kommandolinje-argumentnøgle kendt som "-pass" er derefter påkrævet for at udføre krypteringen.
  3. LockBit 3.0 opretter forskellige tråde til at udføre flere opgaver samtidigt, så datakrypteringen kan gennemføres på kortere tid.
  4. LockBit 3.0 sletter visse tjenester eller funktioner for at gøre krypterings- og eksfiltreringsprocessen meget nemmere.
  5. En API bruges til at rumme servicekontroladministratorens databaseadgang.
  6. Ofrets skrivebordsbaggrund ændres, så de ved, at de er under angreb.

Hvis løsesummen ikke betales af offeret inden for det krævede tidsrum, vil LockBit 3.0-angribere derefter sælge de data, de har stjålet på det mørke web, til andre cyberkriminelle. Dette kan være katastrofalt for både et individuelt offer og en organisation.

I skrivende stund er LockBit 3.0 mest bemærkelsesværdig for udnytter Windows Defender til at implementere Cobalt Strike, et penetrationstestværktøj, der kan slippe nyttelast. Denne software kan også forårsage en kæde af malware-infektioner på tværs af flere enheder.

I denne proces udnyttes kommandolinjeværktøjet MpCmdRun.exe, så angriberen kan dekryptere og starte beacons. Dette gøres ved at narre systemet til at prioritere og indlæse en ondsindet DLL (Dynamic-Link Library).

Den eksekverbare fil MpCmdRun.exe bruges af Windows Defender til at scanne for malware og beskytter dermed enheden mod skadelige filer og programmer. I betragtning af at Cobalt Strike kan omgå Windows Defender-sikkerhedsforanstaltninger, er det blevet meget nyttigt for ransomware-angribere.

Denne teknik er også kendt som side-loading og tillader ondsindede parter at have eller stjæle data fra inficerede enheder.

Sådan undgår du LockBit 3.0 Ransomware

LockBit 3.0 er en stigende bekymring, især blandt større organisationer, der har bunke af data, der kan krypteres og eksfiltreres. det er vigtigt at sikre, at du undgår denne farlige form for angreb.

For at gøre dette skal du først sikre dig, at du bruger superstærke adgangskoder og tofaktorautentificering på alle dine konti. Dette ekstra lag af sikkerhed kan gøre det meget sværere for cyberkriminelle at angribe dig ved hjælp af ransomware. Overveje Remote Desktop Protocol ransomware-angreb, for eksempel. I et sådant scenarie vil angriberen scanne internettet for sårbare RDP-forbindelser. Så hvis din forbindelse er adgangskodebeskyttet og bruger 2FA, er du meget mindre tilbøjelig til at blive målrettet.

Derudover bør du altid holde dine enheders operativsystemer og antivirusprogrammer opdaterede. Softwareopdateringer kan være tidskrævende og frustrerende, men der er en grund til, at de eksisterer. Sådanne opdateringer kommer ofte med fejlrettelser og ekstra sikkerhedsfunktioner for at holde dine enheder og data beskyttet, så gå ikke glip af muligheden for at holde dine enheder opdateret.

En anden vigtig foranstaltning at tage for ikke at undgå ransomware-angreb, men deres konsekvenser, er sikkerhedskopiering af filer. Nogle gange vil ransomware-angribere tilbageholde vigtige oplysninger, som du har brug for af forskellige årsager, så at have en sikkerhedskopi afbøder omfanget af skader til en vis grad. Offline kopier, såsom dem, der er gemt på en USB-stick, kan være uvurderlige, når data bliver stjålet eller slettet fra din enhed.

Foranstaltninger efter infektion

Selvom ovenstående forslag kan beskytte dig mod LockBit ransomware, er der stadig en chance for infektion. Så hvis du opdager, at din computer er blevet inficeret af LockBit 3.0, er det vigtigt ikke at handle irrationelt. Der er trin, du kan tage til fjerne ransomware fra din enhed, som du bør følge nøje og nøje.

Du bør også advare myndighederne, hvis du er blevet offer for et ransomware-angreb. Dette hjælper de relevante parter til bedre at forstå og tackle en given stamme af ransomware.

LockBit 3.0-angreb kan fortsætte

Ingen ved, hvor mange gange LockBit 3.0 ransomware vil blive brugt til at true og udnytte ofre. Det er derfor, det er afgørende at beskytte dine enheder og konti på enhver mulig måde, så dine følsomme data forbliver sikre.