Varkaudet, kiristys, kiristys ja toisena henkilönä esiintyminen ovat yleisiä verkossa, ja tuhannet ihmiset joutuvat erilaisten huijausten ja hyökkäysten uhreiksi joka kuukausi. Yksi tällainen hyökkäysmuoto käyttää eräänlaista lunnasohjelmaa, joka tunnetaan nimellä LockBit 3.0. Joten mistä tämä kiristysohjelma tuli, miten sitä käytetään ja mitä voit tehdä suojellaksesi itseäsi?

Mistä LockBit 3.0 tuli?

LockBit 3.0 (tunnetaan myös nimellä LockBit Black) on LockBit ransomware -perheestä peräisin oleva kiristysohjelmakanta. Tämä on joukko kiristysohjelmia, jotka löydettiin ensimmäisen kerran syyskuussa 2019 ensimmäisen hyökkäysaallon jälkeen. Aluksi LockBitiä kutsuttiin ".abcd-virukseksi", mutta tuolloin ei tiedetty, että LockBitin luojat ja käyttäjät jatkaisivat uusien iteraatioiden luomista alkuperäisestä kiristysohjelmasta ohjelmoida.

LockBitin lunnasohjelmaperhe leviää itsestään, mutta kohteena ovat vain tietyt uhrit – pääasiassa ne, jotka pystyvät maksamaan suuren lunnaat. Ne, jotka käyttävät LockBit ransomwarea, ostavat usein Remote Desktop Protocol (RDP) -käyttöoikeuden pimeästä verkosta, jotta he voivat käyttää uhrien laitteita etänä ja helpommin.

LockBitin operaattorit ovat kohdentaneet organisaatioita ympäri maailmaa sen ensimmäisestä käyttökerrasta lähtien, mukaan lukien Iso-Britannia, Yhdysvallat, Ukraina ja Ranska. Tämä haittaohjelmien perhe käyttää Ransomware-as-a-Service (RaaS) malli, jossa käyttäjät voivat maksaa operaattoreille pääsystä tietyntyyppisiin kiristysohjelmiin. Tähän liittyy usein jonkinlainen tilaus. Joskus käyttäjät voivat jopa tarkistaa tilastot nähdäkseen, onnistuiko heidän LockBit ransomwaren käyttö.

Vasta vuonna 2021 LockBitistä tuli yleinen kiristysohjelma LockBit 2.0:n (nykyisen kannan edeltäjä) kautta. Tässä vaiheessa tätä kiristysohjelmaa käyttäneet jengit päättivät tehdä niin ottamaan käyttöön kaksoiskiristysmallin. Tämä sisältää uhrin tiedostojen salaamisen ja suodattamisen (tai siirtämisen) toiseen laitteeseen. Tämä lisähyökkäysmenetelmä tekee koko tilanteesta entistä pelottavamman kohteena olevan henkilön tai organisaation kannalta.

Uusin LockBit lunnasohjelma on tunnistettu LockBit 3.0:ksi. Joten miten LockBit 3.0 toimii ja miten sitä käytetään nykyään?

Mikä on LockBit 3.0?

Loppukeväällä 2022 löydettiin uusi iteraatio LockBit ransomware -ryhmästä: LockBit 3.0. Ransomware-ohjelmana LockBit 3.0 voi salata ja suodattaa kaikki tartunnan saaneen laitteen tiedostot, jolloin hyökkääjä voi pitää uhrin tietoja ilmeisesti panttivankina, kunnes pyydetty lunnaat on maksettu maksettu. Tämä kiristysohjelma on nyt aktiivinen luonnossa ja aiheuttaa paljon huolta.

Tyypillisen LockBit 3.0 -hyökkäyksen prosessi on:

  1. LockBit 3.0 saastuttaa uhrin laitteen, salaa tiedostot ja lisää salattujen tiedostojen laajennuksen nimellä "HLjkNskOq".
  2. Tällöin salauksen suorittamiseen tarvitaan komentorivin argumenttiavain, joka tunnetaan nimellä "-pass".
  3. LockBit 3.0 luo useita säikeitä useiden tehtävien suorittamiseen samanaikaisesti, jotta tietojen salaus voidaan suorittaa lyhyemmässä ajassa.
  4. LockBit 3.0 poistaa tiettyjä palveluita tai ominaisuuksia tehdäkseen salaus- ja suodatusprosessista paljon helpompaa.
  5. Sovellusliittymää käytetään palvelunhallinnan hallinnan tietokannan pääsyyn.
  6. Uhrin työpöydän taustakuvaa muutetaan niin, että hän tietää olevansa hyökkäyksen kohteena.

Jos uhri ei maksa lunnaita vaaditussa ajassa, LockBit 3.0 -hyökkääjät myyvät sitten pimeässä verkossa varastamansa tiedot muille kyberrikollisille. Tämä voi olla katastrofaalista sekä yksittäiselle uhrille että organisaatiolle.

Kirjoitushetkellä LockBit 3.0 on huomattavin Windows Defenderin hyödyntäminen Cobalt Striken käyttöönottamiseksi, tunkeutumistestaustyökalu, joka voi pudottaa hyötykuormia. Tämä ohjelmisto voi myös aiheuttaa haittaohjelmatartuntojen ketjun useille laitteille.

Tässä prosessissa hyödynnetään komentorivityökalua MpCmdRun.exe, jotta hyökkääjä voi purkaa salauksen ja käynnistää majakat. Tämä tehdään huijaamalla järjestelmä priorisoimaan ja lataamaan haitallinen DLL (Dynamic-Link Library).

Windows Defender käyttää MpCmdRun.exe-suoritettavaa tiedostoa haittaohjelmien etsimiseen, mikä suojaa laitetta haitallisilta tiedostoilta ja ohjelmilta. Koska Cobalt Strike voi ohittaa Windows Defenderin suojaustoimenpiteet, siitä on tullut erittäin hyödyllinen kiristysohjelmien hyökkääjille.

Tämä tekniikka tunnetaan myös sivulatauksena, ja sen avulla haitalliset osapuolet voivat tallentaa tai varastaa tietoja tartunnan saaneilta laitteilta.

Kuinka välttää LockBit 3.0 Ransomware

LockBit 3.0 on kasvava huolenaihe varsinkin suurempien organisaatioiden keskuudessa, joilla on paljon salattavaa ja suodatettavaa dataa. on tärkeää varmistaa, että vältät tämän vaarallisen hyökkäyksen.

Tätä varten sinun tulee ensin varmistaa, että käytät erittäin vahvoja salasanoja ja kaksivaiheista todennusta kaikissa tileissäsi. Tämä lisätty suojakerros voi vaikeuttaa verkkorikollisten hyökkäämistä sinua vastaan ​​käyttämällä kiristysohjelmia. Harkitse Remote Desktop Protocol -lunastusohjelmahyökkäykset, esimerkiksi. Tällaisessa tilanteessa hyökkääjä etsii Internetistä haavoittuvia RDP-yhteyksiä. Joten jos yhteytesi on salasanasuojattu ja käyttää 2FA: ta, on paljon vähemmän todennäköistä, että joudut kohteeksi.

Lisäksi laitteidesi käyttöjärjestelmät ja virustorjuntaohjelmat tulee aina pitää ajan tasalla. Ohjelmistopäivitykset voivat olla aikaa vieviä ja turhauttavia, mutta niiden olemassaoloon on syynsä. Tällaisten päivitysten mukana tulee usein virheenkorjauksia ja lisäsuojausominaisuuksia, jotka pitävät laitteesi ja tietosi suojattuna, joten älä jätä käyttämättä mahdollisuutta pitää laitteesi päivitettynä.

Toinen tärkeä toimenpide, joka ei välttää kiristysohjelmahyökkäyksiä, vaan niiden seurauksia, on tiedostojen varmuuskopiointi. Joskus ransomware-hyökkääjät salaavat tärkeitä tietoja, joita tarvitset useista syistä, joten varmuuskopiointi vähentää vahingon laajuutta jossain määrin. Offline-kopiot, kuten USB-tikulle tallennetut, voivat olla korvaamattomia, kun tiedot varastetaan tai pyyhitään laitteeltasi.

Infektion jälkeiset toimenpiteet

Vaikka yllä olevat ehdotukset voivat suojata sinua LockBit lunnasohjelmilta, tartunnan mahdollisuus on silti olemassa. Joten jos huomaat, että tietokoneesi on saanut LockBit 3.0:n tartunnan, on tärkeää olla toimimatta irrationaalisesti. On vaiheita, joihin voit ryhtyä poista lunnasohjelmat laitteestasi, jota sinun tulee seurata tarkasti ja huolellisesti.

Sinun tulee myös varoittaa viranomaisia, jos olet joutunut kiristysohjelmahyökkäyksen uhriksi. Tämä auttaa asianomaisia ​​osapuolia ymmärtämään paremmin tiettyä kiristysohjelmakantaa ja torjumaan sitä.

LockBit 3.0 -hyökkäykset voivat jatkua

Kukaan ei tiedä, kuinka monta kertaa vielä LockBit 3.0 lunnasohjelmia käytetään uhrien uhkaamiseen ja hyväksikäyttöön. Tästä syystä on erittäin tärkeää suojata laitteitasi ja tilejäsi kaikin mahdollisin tavoin, jotta arkaluontoiset tietosi pysyvät turvassa.