Воровство, вымогательство, шантаж и выдача себя за другое лицо широко распространены в Интернете, и каждый месяц тысячи людей становятся жертвами различных мошенничеств и атак. Один из таких способов атаки использует своего рода программу-вымогатель, известную как LockBit 3.0. Итак, откуда взялась эта программа-вымогатель, как она используется и что вы можете сделать, чтобы защитить себя?

Откуда взялся LockBit 3.0?

LockBit 3.0 (также известный как LockBit Black) — это разновидность программы-вымогателя из семейства программ-вымогателей LockBit. Это группа программ-вымогателей, впервые обнаруженная в сентябре 2019 года, после первой волны атак. Первоначально LockBit назывался «вирус .abcd», но на тот момент не было известно, что Создатели и пользователи LockBit будут продолжать создавать новые версии оригинального вымогателя. программа.

Семейство программ-вымогателей LockBit самораспространяется, но нацелены только на определенных жертв — в основном на тех, кто может заплатить крупный выкуп. Те, кто использует программу-вымогатель LockBit, часто покупают доступ к протоколу удаленного рабочего стола (RDP) в темной сети, чтобы иметь удаленный и более легкий доступ к устройствам жертв.

instagram viewer

Операторы LockBit нацелены на организации по всему миру с момента его первого использования, включая Великобританию, США, Украину и Францию. Это семейство вредоносных программ использует Программы-вымогатели как услуга (RaaS) модель, в которой пользователи могут платить операторам за доступ к определенному типу программ-вымогателей. Это часто включает некоторую форму подписки. Иногда пользователи могут даже проверить статистику, чтобы убедиться, что их использование программы-вымогателя LockBit было успешным.

Только в 2021 году LockBit стал распространенным видом программ-вымогателей благодаря LockBit 2.0 (предшественнику текущего штамма). В этот момент банды, использовавшие эту программу-вымогатель, решили принять модель двойного вымогательства. Это включает в себя как шифрование, так и эксфильтрацию (или передачу) файлов жертвы на другое устройство. Этот дополнительный метод атаки делает всю ситуацию еще более пугающей для целевого лица или организации.

Самый последний вид программы-вымогателя LockBit был идентифицирован как LockBit 3.0. Итак, как работает LockBit 3.0 и как он используется сегодня?

Что такое LockBit 3.0?

В конце весны 2022 года была обнаружена новая версия группы вымогателей LockBit: LockBit 3.0. Как программа-вымогатель, LockBit 3.0 может шифровать и извлекать все файлы на зараженном устройстве, позволяя злоумышленнику удерживать данные жертвы в заложниках до тех пор, пока не будет запрошен выкуп. оплаченный. Эта программа-вымогатель в настоящее время активна в дикой природе и вызывает много беспокойства.

Процесс типичной атаки LockBit 3.0 выглядит следующим образом:

  1. LockBit 3.0 заражает устройство жертвы, шифрует файлы и добавляет к зашифрованным файлам расширение «HLjkNskOq».
  2. Затем для выполнения шифрования требуется ключ аргумента командной строки, известный как «-pass».
  3. LockBit 3.0 создает различные потоки для одновременного выполнения нескольких задач, что позволяет выполнить шифрование данных за меньшее время.
  4. LockBit 3.0 удаляет определенные службы или функции, чтобы сделать процесс шифрования и эксфильтрации намного проще.
  5. API используется для доступа к базе данных диспетчера управления службами.
  6. Обои рабочего стола жертвы меняются, чтобы они знали, что на них напали.

Если жертва не заплатит выкуп в требуемый промежуток времени, злоумышленники LockBit 3.0 затем продадут украденные данные в даркнете другим киберпреступникам. Это может иметь катастрофические последствия как для отдельной жертвы, так и для организации.

На момент написания LockBit 3.0 наиболее известен тем, что использование Защитника Windows для развертывания Cobalt Strike, инструмент тестирования на проникновение, который может сбрасывать полезные нагрузки. Это программное обеспечение также может вызвать цепочку заражений вредоносным ПО на нескольких устройствах.

В этом процессе используется инструмент командной строки MpCmdRun.exe, чтобы злоумышленник мог расшифровать и запустить маяки. Это делается путем обмана системы, заставляющей ее расставлять приоритеты и загружать вредоносную DLL (библиотеку динамической компоновки).

Исполняемый файл MpCmdRun.exe используется Защитником Windows для сканирования на наличие вредоносных программ, тем самым защищая устройство от вредоносных файлов и программ. Учитывая, что Cobalt Strike может обходить меры безопасности Защитника Windows, он стал очень полезным для злоумышленников-вымогателей.

Этот метод также известен как боковая загрузка и позволяет злоумышленникам укрывать или красть данные с зараженных устройств.

Как избежать программ-вымогателей LockBit 3.0

LockBit 3.0 вызывает все большую озабоченность, особенно среди крупных организаций, которые имеют большие объемы данных, которые можно зашифровать и украсть. важно убедиться, что вы избегаете этого опасного вида атаки.

Для этого вы должны сначала убедиться, что вы используете сверхнадежные пароли и двухфакторную аутентификацию для всех своих учетных записей. Этот дополнительный уровень безопасности может затруднить атаку киберпреступников с помощью программ-вымогателей. Рассмотреть возможность Атаки программ-вымогателей по протоколу удаленного рабочего стола, Например. В таком сценарии злоумышленник будет сканировать Интернет на наличие уязвимых RDP-соединений. Таким образом, если ваше соединение защищено паролем и использует 2FA, вероятность того, что вы станете мишенью, гораздо меньше.

Кроме того, вы должны всегда обновлять операционные системы и антивирусные программы своих устройств. Обновления программного обеспечения могут отнимать много времени и вызывать разочарование, но есть причина, по которой они существуют. Такие обновления часто поставляются с исправлениями ошибок и дополнительными функциями безопасности для защиты ваших устройств и данных, поэтому не упускайте возможность обновлять свои устройства.

Еще одна важная мера, которую нужно предпринять не для того, чтобы избежать атак программ-вымогателей, а для того, чтобы избежать их последствий, — это резервное копирование файлов. Иногда злоумышленники-вымогатели утаивают важную информацию, которая вам нужна по разным причинам, поэтому наличие резервной копии в некоторой степени снижает степень ущерба. Автономные копии, например, хранящиеся на USB-накопителе, могут оказаться бесценными, если данные будут украдены или удалены с вашего устройства.

Постинфекционные меры

Хотя приведенные выше рекомендации могут защитить вас от программы-вымогателя LockBit, вероятность заражения все же существует. Итак, если вы обнаружите, что ваш компьютер заражен LockBit 3.0, важно не действовать иррационально. Есть шаги, которые вы можете предпринять, чтобы удалить программу-вымогатель с вашего устройства, которому вы должны внимательно и внимательно следовать.

Вам также следует сообщить властям, если вы стали жертвой атаки программы-вымогателя. Это помогает соответствующим сторонам лучше понять и бороться с данным штаммом программ-вымогателей.

Атаки на LockBit 3.0 могут продолжаться

Никто не знает, сколько еще раз программа-вымогатель LockBit 3.0 будет использоваться для угроз и эксплуатации жертв. Вот почему так важно защищать свои устройства и учетные записи всеми возможными способами, чтобы ваши конфиденциальные данные оставались в безопасности.