Jos pysyt ajan tasalla kyberturvallisuusuhkista, olet todennäköisesti tietoinen siitä, kuinka vaarallisen suositusta kiristysohjelmasta on tullut. Tämän tyyppiset haittaohjelmat ovat valtava uhka niin yksilöille kuin organisaatioillekin, ja tietyistä kannoista on nyt tulossa haitallisten toimijoiden, kuten LockBit, suosituin vaihtoehto.
Joten mikä on LockBit, mistä se tuli ja miten voit suojautua siltä?
Mikä on LockBit Ransomware?
Vaikka LockBit alkoi yhtenä kiristyshaittaohjelmana, se on sittemmin kehittynyt useita kertoja, ja uusin versio tunnetaan nimellä "LockBit 3.0" (josta keskustelemme hieman myöhemmin). LockBit kattaa lunnasohjelmien perheen, jotka toimivat käyttämällä Ransomware-as-a-Service (RaaS) malli.
Ransomware-as-a-Service on liiketoimintamalli, jossa käyttäjät maksavat pääsystä tietyntyyppisiin kiristysohjelmiin, jotta he voivat käyttää sitä omiin hyökkäyksiinsä. Tämän kautta käyttäjistä tulee tytäryhtiöitä, joiden maksuun voi liittyä kiinteä maksu tai tilauspohjainen palvelu. Lyhyesti sanottuna LockBitin luojat ovat löytäneet tavan hyötyä sen käytöstä lisää käyttämällä tätä RaaS-mallia, ja he voivat jopa saada leikkauksen uhrien maksamasta lunnaista.
RaaS-mallin kautta voidaan käyttää useita muita kiristysohjelmia, mukaan lukien DarkSide ja REvil. Näiden lisäksi LockBit on yksi suosituimmista nykyään käytetyistä kiristysohjelmista.
Koska LockBit on lunnasohjelmaperhe, sen käyttöön liittyy kohteen tiedostojen salaus. Kyberrikolliset tunkeutuvat uhrin laitteelle tavalla tai toisella, ehkä tietojenkalasteluviestin tai haitallisen sähköpostin kautta. liitetiedosto ja salaa sitten kaikki laitteessa olevat tiedostot LockBitillä, jotta ne eivät pääse käyttäjä.
Kun uhrin tiedostot on salattu, hyökkääjä vaatii lunnaita vastineeksi salauksenpurkuavaimesta. Jos uhri ei noudata ja maksa lunnaita, on todennäköistä, että hyökkääjä myy tiedot pimeässä verkossa voittoa tavoittelemassa. Riippuen tiedoista, tämä voi aiheuttaa peruuttamatonta vahinkoa yksilön tai organisaation yksityisyydelle, mikä voi lisätä painetta lunnaiden maksamiseen.
Mutta mistä tämä erittäin vaarallinen kiristysohjelma tuli?
LockBit Ransomwaren alkuperä
Ei tiedetä tarkasti, milloin LockBit kehitettiin, mutta sen tunnustettu historia ulottuu vuoteen 2019, jolloin se löydettiin ensimmäisen kerran. Tämä löytö tuli LockBitin ensimmäisen hyökkäysaallon jälkeen, kun kiristysohjelma luotiin alun perin "ABCD" viitaten hyökkäyksissä käytettyjen salattujen tiedostojen laajennusnimeen. Mutta kun hyökkääjät alkoivat käyttää tiedostopäätettä ".lockbit", kiristysohjelman nimi muuttui nykyiseksi.
LockBitin suosio kasvoi sen toisen iteraation, LockBit 2.0:n, kehittämisen jälkeen. Vuoden 2021 lopulla LockBit 2.0:aa käytettiin yhä enemmän tytäryhtiöiden hyökkäyksiä varten, ja muiden kiristysohjelmajengien sulkeuduttua LockBit pystyi hyödyntämään aukkoa markkinoida.
Itse asiassa LockBit 2.0:n lisääntynyt käyttö vahvisti sen asemaa "vaikuttavimpana ja laajimmin käytettynä ransomware-variantti, jonka olemme havainneet kaikissa ransomware-loukkauksissa vuoden 2022 ensimmäisen neljänneksen aikana", kertoo a Palo Alton raportti. Tämän lisäksi Palo Alto totesi samassa raportissa, että LockBitin operaattorit väittävät omaavansa nopeimman salausohjelmiston kaikista tällä hetkellä aktiivisista kiristysohjelmista.
LockBit ransomware on havaittu useissa maissa ympäri maailmaa, mukaan lukien Kiina, Yhdysvallat, Ranska, Ukraina, Iso-Britannia ja Intia. Useat suuret organisaatiot ovat myös olleet kohteena LockBitillä, mukaan lukien irlantilais-amerikkalainen asiantuntijapalveluyritys Accenture.
Accenture joutui tietomurtoon LockBitin käytön seurauksena vuonna 2021, ja hyökkääjät vaativat 50 miljoonan dollarin lunnaita yli 6 Tt: n datan salauksella. Accenture ei suostunut maksamaan tätä lunnaita, vaikka yhtiö väitti, ettei hyökkäys vaikuttanut asiakkaisiin.
LockBit 3.0 ja sen riskit
LockBitin suosion kasvaessa jokainen uusi iteraatio on vakava huolenaihe. LockBitin uusin versio, joka tunnetaan nimellä LockBit 3.0, on jo tullut ongelmaksi, erityisesti Windows-käyttöjärjestelmissä.
Kesällä 2022 LockBit 3.0 oli käytetään haitallisten Cobalt Strike -hyötykuormien lataamiseen kohdistetuissa laitteissa Windows Defenderin avulla. Tässä hyökkäysaalossa MpCmdRun.exe-nimistä suoritettavaa komentorivitiedostoa käytettiin väärin, jotta Cobalt Strike -majakat voivat ohittaa suojauksen havaitsemisen.
LockBit 3.0:aa on käytetty myös VMwareXferlogs.exe-nimellä tunnetun VMWaren komentorivin hyödyntämisessä Cobalt Strike -hyötykuormien uudelleen käyttöön ottamiseksi. Ei tiedetä, jatkuvatko nämä hyökkäykset vai kehittyvätkö ne joksikin kokonaan muuksi.
On selvää, että LockBit lunnasohjelmat ovat suuri riski, kuten monet kiristysohjelmat. Joten, kuinka voit pitää itsesi turvassa?
Kuinka suojautua LockBit Ransomwarelta
Koska LockBit ransomwaren on ensin oltava laitteessasi tiedostojen salaamista varten, sinun on yritettävä katkaista se lähteellä ja estää tartunnat kokonaan. Vaikka on vaikea taata suojaasi kiristyshaittaohjelmia vastaan, voit tehdä paljon, jotta voit välttää niin paljon kuin mahdollista.
Ensinnäkin on tärkeää, että et koskaan lataa tiedostoja tai ohjelmistoja sivustoilta, jotka eivät ole täysin laillisia. Minkä tahansa vahvistamattoman tiedoston lataaminen laitteellesi voi antaa kiristysohjelmien hyökkääjälle helpon pääsyn tiedostoihisi. Varmista, että käytät vain luotettavia ja hyvin arvioituja sivustoja latauksillesi tai virallisia sovelluskauppoja ohjelmiston asentamiseen.
Toinen huomioitava tekijä on se, että LockBit lunnasohjelmat ovat usein leviää Remote Desktop Protocol (RDP) -protokollan kautta. Jos et käytä tätä tekniikkaa, sinun ei tarvitse huolehtia tästä osoittimesta. Jos kuitenkin teet niin, on tärkeää suojata RDP-verkkosi salasanasuojauksella, VPN: illä ja deaktivoimalla protokolla, kun se ei ole suoraan käytössä. Ransomware-operaattorit etsivät usein Internetistä haavoittuvia RDP-yhteyksiä, joten ylimääräisten suojakerrosten lisääminen tekee RDP-verkostasi vähemmän alttiin hyökkäyksille.
Ransomware-ohjelmat voivat levitä myös tietojenkalastelulla, joka on pahantahtoisten toimijoiden käyttämä uskomattoman suosittu tartunta- ja tietovarkaustapa. Tietojenkalastelu tapahtuu yleisimmin sähköpostien kautta, jolloin hyökkääjä liittää sähköpostin runkoon haitallisen linkin, jonka hän saa uhrin napsauttamaan. Tämä linkki johtaa haitalliselle verkkosivustolle, joka voi helpottaa haittaohjelmatartuntaa.
Tietojenkalastelut voidaan välttää useilla tavoilla, mukaan lukien roskapostin esto-ominaisuudet, linkkien tarkistussivustotja virustorjuntaohjelmisto. Sinun tulee myös vahvistaa jokaisen uuden sähköpostin lähettäjän osoite ja tarkistaa sähköpostien kirjoitusvirheet (koska huijausviestit ovat usein täynnä kirjoitus- ja kielioppivirheitä).
LockBit on edelleen globaali uhka
LockBit jatkaa kehittymistään ja kohdistuu yhä useammille uhreille: tämä kiristysohjelma ei katoa minnekään lähiaikoina. Jotta pysyt turvassa LockBitiltä ja kiristysohjelmilta yleensä, harkitse joitain yllä olevista vinkeistä. Vaikka saatat ajatella, ettei sinusta koskaan tule kohdetta, on aina viisasta ryhtyä tarvittaviin varotoimiin joka tapauksessa.