Hvis du holder dig opdateret om cybersikkerhedstrusler, er du sikkert klar over, hvor farligt populær ransomware er blevet. Denne form for malware er en enorm trussel mod både enkeltpersoner og organisationer, hvor visse stammer nu bliver et topvalg for ondsindede aktører, herunder LockBit.
Så hvad er LockBit, hvor kom det fra, og hvordan kan du beskytte dig selv mod det?
Hvad er LockBit Ransomware?
Mens LockBit begyndte som en enkelt stamme af ransomware, har den siden udviklet sig flere gange, hvor den seneste version er kendt som "LockBit 3.0" (som vi vil diskutere lidt senere). LockBit spænder over en familie af ransomware-programmer, som fungerer ved hjælp af Ransomware-as-a-Service (RaaS) model.
Ransomware-as-a-Service er en forretningsmodel, der involverer, at brugere betaler for adgang til en given slags ransomware, så de kan bruge den til deres egne angreb. Herigennem bliver brugerne tilknyttede, og deres betaling kan involvere et fast gebyr eller en abonnementsbaseret tjeneste. Kort sagt, LockBits skabere har fundet en måde til yderligere at drage fordel af dets brug ved at anvende denne RaaS-model og kan endda modtage en nedskæring af løsesummen udbetalt af ofrene.
En række andre ransomware-programmer kan tilgås gennem RaaS-modellen, herunder DarkSide og REvil. Ved siden af disse er LockBit en af de mest populære ransomware-typer, der bruges i dag.
Da LockBit er en ransomware-familie, involverer dets brug kryptering af et måls filer. Cyberkriminelle vil infiltrere et offers enhed på den ene eller anden måde, måske gennem en phishing-e-mail eller ondsindet vedhæftet fil, og vil derefter bruge LockBit til at kryptere alle filerne på enheden, så de er utilgængelige for bruger.
Når ofrets filer er blevet krypteret, vil angriberen derefter kræve en løsesum til gengæld for dekrypteringsnøglen. Hvis offeret ikke overholder det og betaler løsesummen, er det sandsynligt, at angriberen derefter vil sælge dataene på det mørke web for profit. Afhængigt af, hvad dataene er, kan dette forårsage uoprettelig skade på en persons eller organisations privatliv, hvilket kan øge presset for at betale løsesummen.
Men hvor kom denne meget farlige ransomware fra?
Oprindelsen af LockBit Ransomware
Det vides ikke præcist, hvornår LockBit blev udviklet, men dets anerkendte historie strækker sig tilbage til 2019, hvor det først blev fundet. Denne opdagelse kom efter LockBits første bølge af angreb, hvor ransomware oprindeligt blev opfundet "ABCD" med henvisning til udvidelsesnavnet på de krypterede filer, der blev udnyttet under angreb. Men da angriberne begyndte at bruge filtypenavnet ".lockbit" i stedet, ændrede navnet på ransomware sig til, hvad det er i dag.
LockBits popularitet steg efter udviklingen af dens anden iteration, LockBit 2.0. I slutningen af 2021 blev LockBit 2.0 i stigende grad brugt af tilknyttede selskaber for angreb, og ved nedlukningen af andre ransomware-bander var LockBit i stand til at udnytte hullet i marked.
Faktisk befæstede den øgede brug af LockBit 2.0 sin position som "den mest virkningsfulde og bredt udbredte ransomware variant vi har observeret i alle ransomware brud i løbet af første kvartal af 2022", ifølge -en Palo Alto rapport. Oven i dette udtalte Palo Alto i samme rapport, at LockBits operatører hævder at have den hurtigste krypteringssoftware af enhver aktuelt aktiv ransomware.
LockBit ransomware er blevet set i flere nationer over hele verden, herunder Kina, USA, Frankrig, Ukraine, Storbritannien og Indien. En række store organisationer er også blevet målrettet ved at bruge LockBit, herunder Accenture, en irsk-amerikansk professionel servicevirksomhed.
Accenture led et databrud som følge af LockBits brug i 2021, hvor angriberne krævede en gigantisk løsesum på $50 millioner, hvor over 6 TB data blev krypteret. Accenture gik ikke med til at betale denne løsesum, selvom virksomheden hævdede, at ingen kunder var blevet påvirket af angrebet.
LockBit 3.0 og dets risici
Efterhånden som LockBits popularitet stiger, er hver ny iteration en alvorlig bekymring. Den seneste version af LockBit, kendt som LockBit 3.0, er allerede blevet et problem, specielt inden for Windows-operativsystemer.
I sommeren 2022 var LockBit 3.0 bruges til at læsse skadelige Cobalt Strike-nyttelaster på målrettede enheder gennem udnyttelse af Windows Defender. I denne bølge af angreb blev en eksekverbar kommandolinjefil kendt som MpCmdRun.exe misbrugt, så Cobalt Strike-beacons kan omgå sikkerhedsdetektion.
LockBit 3.0 er også blevet brugt til at udnytte en VMWare-kommandolinje kendt som VMwareXferlogs.exe til igen at implementere Cobalt Strike-nyttelaster. Det vides ikke, om disse angreb vil fortsætte eller udvikle sig til noget helt andet.
Det er tydeligt, at LockBit ransomware er en høj risiko, som det er tilfældet for mange ransomware-programmer. Så hvordan kan du holde dig selv sikker?
Sådan beskytter du dig selv mod LockBit Ransomware
Da LockBit ransomware først skal være til stede på din enhed for at kryptere filer, skal du prøve at afskære den ved kilden og forhindre infektion helt. Selvom det er svært at garantere din beskyttelse mod ransomware, er der meget, du kan gøre for at undgå så meget som muligt.
For det første er det vigtigt, at du aldrig downloader filer eller softwareprogrammer fra websteder, der ikke er helt legitime. At downloade enhver form for ubekræftet fil til din enhed kan give en ransomware-angriber nem adgang til dine filer. Sørg for, at du kun bruger pålidelige og velanmeldte websteder til dine downloads eller officielle appbutikker til softwareinstallation.
En anden faktor at bemærke er, at LockBit ransomware ofte er spredes via Remote Desktop Protocol (RDP). Hvis du ikke bruger denne teknologi, behøver du ikke bekymre dig om denne pointer. Men hvis du gør det, er det vigtigt, at du sikrer dit RDP-netværk ved hjælp af adgangskodebeskyttelse, VPN'er og deaktiverer protokollen, når den ikke er direkte i brug. Ransomware-operatører scanner ofte internettet for sårbare RDP-forbindelser, så tilføjelse af ekstra lag af beskyttelse vil gøre dit RDP-netværk mindre modtageligt for angreb.
Ransomware kan også spredes via phishing, en utrolig populær infektions- og datatyveri, der bruges af ondsindede aktører. Phishing er oftest implementeret via e-mails, hvor angriberen vil vedhæfte et ondsindet link til e-mail-teksten, som de vil overbevise offeret om at klikke på. Dette link vil føre til et ondsindet websted, der kan lette malware-infektion.
Undgå phishing kan gøres på en række måder, herunder brug af anti-spam e-mail-funktioner, link-tjek hjemmesiderog antivirussoftware. Du bør også bekræfte afsenderadressen for enhver ny e-mail og scanne for tastefejl i e-mails (da svindel-e-mails ofte er fyldt med stave- og grammatiske fejl).
LockBit fortsætter med at være en global trussel
LockBit fortsætter med at udvikle sig og målrette mod flere og flere ofre: denne ransomware kommer ikke nogen steder snart. For at beskytte dig mod LockBit og ransomware generelt, overvej nogle af tipsene ovenfor. Selvom du måske tror, du aldrig vil blive et mål, er det altid klogt at tage de nødvendige forholdsregler alligevel.
