Tyveri, utpressing, utpressing og etterligning er utbredt på nettet, med tusenvis av mennesker som blir ofre for ulike svindel og angrep hver måned. En slik angrepsmåte bruker en slags løsepengevare kjent som LockBit 3.0. Så hvor kom denne løsepengevaren fra, hvordan brukes den, og hva kan du gjøre for å beskytte deg selv?

Hvor kom LockBit 3.0 fra?

LockBit 3.0 (også kjent som LockBit Black) er en ransomware-stamme fra LockBit ransomware-familien. Dette er en gruppe løsepengeprogrammer som først ble oppdaget i september 2019, etter at den første bølgen av angrep fant sted. Opprinnelig ble LockBit referert til som ".abcd-viruset", men på det tidspunktet var det ikke kjent at LockBits skapere og brukere ville fortsette å lage nye iterasjoner av den originale løsepengevaren program.

LockBits familie av løsepengeprogrammer sprer seg selv, men bare visse ofre er målrettet – hovedsakelig de som har muligheten til å betale en stor løsepenge. De som bruker LockBit løsepengeprogramvare kjøper ofte Remote Desktop Protocol (RDP) tilgang på det mørke nettet slik at de kan få tilgang til ofrenes enheter eksternt og enklere.

instagram viewer

LockBits operatører har målrettet mot organisasjoner over hele verden siden den ble brukt første gang, inkludert Storbritannia, USA, Ukraina og Frankrike. Denne familien av skadelige programmer bruker Ransomware-as-a-Service (RaaS) modell, der brukere kan betale operatørene for å ha tilgang til en gitt type løsepengevare. Dette innebærer ofte en eller annen form for abonnement. Noen ganger kan brukere til og med sjekke statistikk for å se om deres bruk av LockBit løsepengevare var vellykket.

Det var ikke før i 2021 at LockBit ble en utbredt type løsepengevare, gjennom LockBit 2.0 (den nåværende stammens forgjenger). På dette tidspunktet bestemte gjengene som brukte denne løsepengevaren seg for å ta i bruk den doble utpressingsmodellen. Dette innebærer både kryptering og eksfiltrering (eller overføring) av et offers filer til en annen enhet. Denne ekstra angrepsmetoden gjør hele situasjonen enda mer skummel for den målrettede personen eller organisasjonen.

Den siste typen LockBit løsepengeprogramvare har blitt identifisert som LockBit 3.0. Så hvordan fungerer LockBit 3.0, og hvordan brukes det i dag?

Hva er LockBit 3.0?

På slutten av våren 2022 ble en ny iterasjon av LockBit ransomware-gruppen oppdaget: LockBit 3.0. Som løsepengeprogram kan LockBit 3.0 kryptere og eksfiltrere alle filene på en infisert enhet, slik at angriperen kan holde offerets data som gissel til den forespurte løsepengen er betalt. Denne løsepengevaren er nå aktiv i naturen, og skaper mye bekymring.

Prosessen med et typisk LockBit 3.0-angrep er:

  1. LockBit 3.0 infiserer et offers enhet, krypterer filer og legger til utvidelsen av krypterte filer som "HLjkNskOq".
  2. En kommandolinje-argumentnøkkel kjent som "-pass" kreves da for å utføre krypteringen.
  3. LockBit 3.0 oppretter ulike tråder for å utføre flere oppgaver samtidig slik at datakrypteringen kan fullføres på kortere tid.
  4. LockBit 3.0 sletter visse tjenester eller funksjoner for å gjøre krypterings- og eksfiltreringsprosessen så mye enklere.
  5. En API brukes til å gi databasetilgang til tjenestekontrolladministratoren.
  6. Offerets skrivebordsbakgrunn endres slik at de vet at de er under angrep.

Hvis løsepengene ikke betales av offeret innen det nødvendige tidsvinduet, vil LockBit 3.0-angripere deretter selge dataene de har stjålet på det mørke nettet til andre nettkriminelle. Dette kan være katastrofalt for både et enkelt offer og en organisasjon.

I skrivende stund er LockBit 3.0 mest kjent for utnytter Windows Defender til å distribuere Cobalt Strike, et penetrasjonstestverktøy som kan slippe nyttelast. Denne programvaren kan også forårsake en kjede av malware-infeksjoner på tvers av flere enheter.

I denne prosessen blir kommandolinjeverktøyet MpCmdRun.exe utnyttet slik at angriperen kan dekryptere og starte beacons. Dette gjøres ved å lure systemet til å prioritere og laste inn en ondsinnet DLL (Dynamic-Link Library).

Den kjørbare filen MpCmdRun.exe brukes av Windows Defender til å skanne etter skadelig programvare, og beskytter dermed enheten mot skadelige filer og programmer. Gitt at Cobalt Strike kan omgå Windows Defender sikkerhetstiltak, har det blitt veldig nyttig for løsepengeangripere.

Denne teknikken er også kjent som sidelasting, og lar ondsinnede parter lagre eller stjele data fra infiserte enheter.

Hvordan unngå LockBit 3.0 Ransomware

LockBit 3.0 er en økende bekymring, spesielt blant større organisasjoner som har hauger av data som kan krypteres og eksfiltreres. det er viktig å sørge for at du styrer unna denne farlige typen angrep.

For å gjøre dette, bør du først sørge for at du bruker supersterke passord og tofaktorautentisering på alle kontoene dine. Dette ekstra sikkerhetslaget kan gjøre det så mye vanskeligere for nettkriminelle å angripe deg ved å bruke løsepengeprogramvare. Ta i betraktning Remote Desktop Protocol løsepengevareangrep, for eksempel. I et slikt scenario vil angriperen skanne internett for sårbare RDP-forbindelser. Så hvis tilkoblingen din er passordbeskyttet og bruker 2FA, er det mye mindre sannsynlig at du blir målrettet.

I tillegg bør du alltid holde enhetenes operativsystemer og antivirusprogrammer oppdatert. Programvareoppdateringer kan være tidkrevende og frustrerende, men det er en grunn til at de eksisterer. Slike oppdateringer kommer ofte med feilrettinger og ekstra sikkerhetsfunksjoner for å holde enhetene og dataene dine beskyttet, så ikke gå glipp av muligheten til å holde enhetene oppdatert.

Et annet viktig tiltak å ta for ikke å unngå løsepenge-angrep, men konsekvensene deres, er sikkerhetskopiering av filer. Noen ganger vil ransomware-angripere holde tilbake viktig informasjon du trenger av ulike årsaker, så det å ha en sikkerhetskopi reduserer skadeomfanget til en viss grad. Frakoblede kopier, for eksempel de som er lagret på en USB-pinne, kan være uvurderlige når data blir stjålet eller slettet fra enheten din.

Tiltak etter infeksjon

Selv om forslagene ovenfor kan beskytte deg mot LockBit-ransomware, er det fortsatt en sjanse for infeksjon. Så hvis du finner ut at datamaskinen din har blitt infisert av LockBit 3.0, er det viktig å ikke opptre irrasjonelt. Det er skritt du kan ta til fjerne løsepengevare fra enheten din, som du bør følge nøye og nøye.

Du bør også varsle myndighetene hvis du har blitt offer for et løsepenge-angrep. Dette hjelper de relevante partene til å bedre forstå og takle en gitt stamme av løsepengevare.

LockBit 3.0-angrep kan fortsette

Ingen vet hvor mange ganger LockBit 3.0 løsepengevare vil bli brukt til å true og utnytte ofre. Dette er grunnen til at det er avgjørende å beskytte enhetene og kontoene dine på alle mulige måter, slik at sensitive data forblir trygge.