Если вы следите за новостями об угрозах кибербезопасности, вы, вероятно, знаете, насколько опасно популярными стали программы-вымогатели. Этот тип вредоносного ПО представляет собой огромную угрозу как для отдельных лиц, так и для организаций, причем некоторые штаммы в настоящее время становятся лучшим выбором для злоумышленников, включая LockBit.
Итак, что такое LockBit, откуда он взялся и как от него защититься?
Что такое программа-вымогатель LockBit?
Хотя LockBit начинался как отдельный штамм программы-вымогателя, с тех пор он неоднократно развивался, и последняя версия известна как «LockBit 3.0» (о которой мы поговорим чуть позже). LockBit включает в себя семейство программ-вымогателей, которые работают с использованием Программы-вымогатели как услуга (RaaS) модель.
Ransomware-as-a-Service — это бизнес-модель, в которой пользователи платят за доступ к определенному типу программ-вымогателей, чтобы они могли использовать их для своих собственных атак. Благодаря этому пользователи становятся аффилированными лицами, и их оплата может включать фиксированную плату или услугу на основе подписки. Короче говоря, создатели LockBit нашли способ получить дополнительную прибыль от его использования, используя эту модель RaaS, и даже могут получать часть выкупа, выплачиваемого жертвами.
Через модель RaaS можно получить доступ к ряду других программ-вымогателей, включая DarkSide и REvil. Наряду с этим LockBit является одним из самых популярных типов программ-вымогателей, используемых сегодня.
Учитывая, что LockBit является семейством программ-вымогателей, его использование предполагает шифрование файлов цели. Киберпреступники тем или иным образом проникают на устройство жертвы, возможно, через фишинговое письмо или вредоносное ПО. вложение, а затем будет использовать LockBit для шифрования всех файлов на устройстве, чтобы они были недоступны для пользователь.
Как только файлы жертвы будут зашифрованы, злоумышленник потребует выкуп в обмен на ключ дешифрования. Если жертва не подчинится и не заплатит выкуп, вполне вероятно, что злоумышленник затем продаст данные в даркнете для получения прибыли. В зависимости от того, что представляют собой данные, это может нанести необратимый ущерб конфиденциальности человека или организации, что может усилить давление на выплату выкупа.
Но откуда взялась эта очень опасная программа-вымогатель?
Истоки программы-вымогателя LockBit
Точно неизвестно, когда был разработан LockBit, но его признанная история восходит к 2019 году, когда он был впервые обнаружен. Это открытие было сделано после первой волны атак LockBit, когда программа-вымогатель первоначально была придумана «ABCD» в связи с расширением имени зашифрованных файлов, используемых во время атак. Но когда злоумышленники начали использовать расширение файла «.lockbit», имя программы-вымогателя изменилось на нынешнее.
Популярность LockBit резко возросла после разработки его второй версии, LockBit 2.0. В конце 2021 года LockBit 2.0 стал использоваться все чаще. аффилированными лицами для атак, а после закрытия других банд вымогателей LockBit смогла воспользоваться пробелом в рынок.
Фактически более широкое использование LockBit 2.0 укрепило его позицию как «наиболее эффективного и широко используемого вариант программы-вымогателя, который мы наблюдали во всех взломах программ-вымогателей в первом квартале 2022 года», — говорится в сообщении. а Отчет Пало-Альто. Вдобавок к этому Пало-Альто заявил в том же отчете, что операторы LockBit утверждают, что у них самое быстрое программное обеспечение для шифрования среди всех активных в настоящее время программ-вымогателей.
Программа-вымогатель LockBit была обнаружена во многих странах мира, включая Китай, США, Францию, Украину, Великобританию и Индию. Ряд крупных организаций также стал мишенью для использования LockBit, включая Accenture, ирландско-американскую компанию, предоставляющую профессиональные услуги.
В Accenture произошла утечка данных в результате использования LockBit в 2021 году, когда злоумышленники потребовали гигантский выкуп в размере 50 миллионов долларов, при этом было зашифровано более 6 ТБ данных. Accenture не согласилась заплатить этот выкуп, хотя компания утверждала, что ни один клиент не пострадал от атаки.
LockBit 3.0 и его риски
По мере роста популярности LockBit каждая новая итерация вызывает серьезную озабоченность. Последняя версия LockBit, известная как LockBit 3.0, уже стала проблемой, особенно в операционных системах Windows.
Летом 2022 года LockBit 3.0 был используется для загрузки вредоносных полезных нагрузок Cobalt Strike на целевых устройствах с помощью Защитника Windows. Во время этой волны атак был использован исполняемый файл командной строки, известный как MpCmdRun.exe, чтобы маяки Cobalt Strike могли обходить обнаружение системы безопасности.
LockBit 3.0 также использовался при эксплуатации командной строки VMWare, известной как VMwareXferlogs.exe, для повторного развертывания полезных нагрузок Cobalt Strike. Неизвестно, продолжатся ли эти атаки или перерастут во что-то совершенно другое.
Очевидно, что программа-вымогатель LockBit представляет собой высокий риск, как и многие другие программы-вымогатели. Итак, как вы можете обезопасить себя?
Как защитить себя от программ-вымогателей LockBit
Учитывая, что программа-вымогатель LockBit должна сначала присутствовать на вашем устройстве для шифрования файлов, вам нужно попытаться отключить ее в источнике и полностью предотвратить заражение. Хотя трудно гарантировать защиту от программ-вымогателей, вы можете многое сделать, чтобы максимально избежать этого.
Во-первых, важно, чтобы вы никогда не загружали какие-либо файлы или программы с сайтов, которые не являются полностью законными. Загрузка любого непроверенного файла на ваше устройство может дать злоумышленнику-вымогателю легкий доступ к вашим файлам. Убедитесь, что вы используете только надежные и проверенные сайты для загрузки или официальные магазины приложений для установки программного обеспечения.
Еще один фактор, который следует отметить, заключается в том, что программы-вымогатели LockBit часто распространяться через протокол удаленного рабочего стола (RDP). Если вы не используете эту технологию, вам не нужно беспокоиться об этом указателе. Однако, если вы это сделаете, важно защитить свою сеть RDP с помощью защиты паролем, VPN и деактивации протокола, когда он не используется напрямую. Операторы программ-вымогателей часто сканируют Интернет на наличие уязвимых RDP-соединений, поэтому добавление дополнительных уровней защиты сделает вашу RDP-сеть менее уязвимой для атак.
Программы-вымогатели также могут распространяться с помощью фишинга — невероятно популярного способа заражения и кражи данных, используемого злоумышленниками. Фишинг чаще всего развертывается через электронные письма, когда злоумышленник прикрепляет вредоносную ссылку к телу электронного письма, по которой он убеждает жертву щелкнуть. Эта ссылка ведет на вредоносный веб-сайт, который может способствовать заражению вредоносным ПО.
Избежать фишинга можно несколькими способами, включая использование функций защиты от спама в электронной почте, сайты с проверкой ссылок, и антивирусное программное обеспечение. Вы также должны проверять адрес отправителя любого нового электронного письма и сканировать его на наличие опечаток (поскольку мошеннические электронные письма часто изобилуют орфографическими и грамматическими ошибками).
LockBit продолжает оставаться глобальной угрозой
LockBit продолжает развиваться и нацеливаться на все больше и больше жертв: эта программа-вымогатель никуда не денется в ближайшее время. Чтобы обезопасить себя от LockBit и программ-вымогателей в целом, примите во внимание некоторые из приведенных выше советов. Хотя вы можете думать, что никогда не станете мишенью, в любом случае всегда разумно принять необходимые меры предосторожности.