Hvis du holder deg oppdatert på cybersikkerhetstrusler, er du sannsynligvis klar over hvor farlig populær løsepengevare har blitt. Denne typen skadelig programvare er en stor trussel mot enkeltpersoner og organisasjoner, med visse stammer som nå blir et toppvalg for ondsinnede aktører, inkludert LockBit.
Så, hva er LockBit, hvor kom det fra, og hvordan kan du beskytte deg mot det?
Hva er LockBit Ransomware?
Mens LockBit begynte som en enkelt stamme av løsepengevare, har den siden utviklet seg flere ganger, med den nyeste versjonen kjent som "LockBit 3.0" (som vi vil diskutere litt senere). LockBit spenner over en familie av løsepengeprogrammer, som opererer ved hjelp av Ransomware-as-a-Service (RaaS) modell.
Ransomware-as-a-Service er en forretningsmodell som innebærer at brukere betaler for tilgang til en gitt type løsepengevare slik at de kan bruke den til sine egne angrep. Gjennom dette blir brukerne tilknyttede, og betalingen deres kan innebære en fast avgift eller en abonnementsbasert tjeneste. Kort sagt, LockBits skapere har funnet en måte å tjene ytterligere på bruken ved å bruke denne RaaS-modellen, og kan til og med motta et kutt av løsepengene utbetalt av ofrene.
En rekke andre løsepengeprogrammer kan nås gjennom RaaS-modellen, inkludert DarkSide og REvil. Ved siden av disse er LockBit en av de mest populære løsepengevaretypene som brukes i dag.
Gitt at LockBit er en løsepengevarefamilie, involverer bruken kryptering av et måls filer. Nettkriminelle vil infiltrere et offers enhet på en eller annen måte, kanskje gjennom en phishing-e-post eller ondsinnet vedlegg, og vil deretter bruke LockBit til å kryptere alle filene på enheten slik at de er utilgjengelige for bruker.
Når offerets filer er kryptert, vil angriperen kreve løsepenger i retur for dekrypteringsnøkkelen. Hvis offeret ikke etterkommer og betaler løsepenger, er det sannsynlig at angriperen da vil selge dataene på det mørke nettet for profitt. Avhengig av hva dataene er, kan dette forårsake irreversibel skade på en persons eller organisasjons personvern, noe som kan øke presset ved å betale løsepenger.
Men hvor kom denne svært farlige løsepengevaren fra?
Opprinnelsen til LockBit Ransomware
Det er ikke kjent nøyaktig når LockBit ble utviklet, men dens anerkjente historie strekker seg tilbake til 2019, da den først ble funnet. Denne oppdagelsen kom etter LockBits første bølge av angrep, da løsepengevaren opprinnelig ble laget "ABCD" med henvisning til utvidelsesnavnet til de krypterte filene som ble utnyttet under angrep. Men da angriperne begynte å bruke filtypen ".lockbit" i stedet, ble navnet på løsepengevaren endret til det det er i dag.
LockBits popularitet økte etter utviklingen av sin andre iterasjon, LockBit 2.0. På slutten av 2021 ble LockBit 2.0 i økende grad brukt av tilknyttede selskaper for angrep, og ved nedleggelse av andre løsepengevaregjenger, var LockBit i stand til å dra nytte av gapet i marked.
Faktisk befestet den økte bruken av LockBit 2.0 sin posisjon som "den mest virkningsfulle og utbredte ransomware-variant vi har observert i alle ransomware-brudd i løpet av første kvartal 2022", ifølge en Palo Alto rapport. På toppen av dette uttalte Palo Alto i den samme rapporten at LockBits operatører hevder å ha den raskeste krypteringsprogramvaren av enhver aktiv løsepengevare.
LockBit løsepengevare har blitt oppdaget i flere nasjoner over hele verden, inkludert Kina, USA, Frankrike, Ukraina, Storbritannia og India. En rekke store organisasjoner har også blitt målrettet ved å bruke LockBit, inkludert Accenture, et irsk-amerikansk profesjonell tjenesteselskap.
Accenture led et datainnbrudd som følge av LockBits bruk i 2021, hvor angriperne krevde en gigantisk løsepenge på 50 millioner dollar, med over 6 TB med data som ble kryptert. Accenture gikk ikke med på å betale denne løsepengene, selv om selskapet hevdet at ingen kunder hadde blitt berørt av angrepet.
LockBit 3.0 og dens risikoer
Etter hvert som LockBits popularitet øker, er hver ny iterasjon en alvorlig bekymring. Den siste versjonen av LockBit, kjent som LockBit 3.0, har allerede blitt et problem, spesielt innenfor Windows-operativsystemer.
Sommeren 2022 var LockBit 3.0 brukes til å laste skadelige Cobalt Strike-nyttelaster på målrettede enheter gjennom utnyttelse av Windows Defender. I denne bølgen av angrep ble en kjørbar kommandolinjefil kjent som MpCmdRun.exe misbrukt, slik at Cobalt Strike-beaconene kan omgå sikkerhetsdeteksjon.
LockBit 3.0 har også blitt brukt i utnyttelsen av en VMWare-kommandolinje kjent som VMwareXferlogs.exe for igjen å distribuere Cobalt Strike-nyttelaster. Det er ikke kjent om disse angrepene vil fortsette, eller utvikle seg til noe helt annet.
Det er tydelig at LockBit løsepengevare er en høy risiko, slik tilfellet er for mange løsepengeprogrammer. Så hvordan kan du holde deg selv trygg?
Slik beskytter du deg mot LockBit Ransomware
Gitt at LockBit ransomware først må være til stede på enheten din for å kryptere filer, må du prøve å kutte den av ved kilden og forhindre infeksjon helt. Selv om det er vanskelig å garantere din beskyttelse mot løsepengevare, er det mye du kan gjøre for å styre unna så mye som mulig.
For det første er det viktig at du aldri laster ned filer eller programmer fra nettsteder som ikke er helt legitime. Nedlasting av alle slags ubekreftede filer til enheten din kan gi en løsepenge-angriper enkel tilgang til filene dine. Sørg for at du bare bruker pålitelige og godt anmeldte nettsteder for nedlastingene dine, eller offisielle appbutikker for programvareinstallasjon.
En annen faktor å merke seg er at LockBit løsepengevare ofte er spres via Remote Desktop Protocol (RDP). Hvis du ikke bruker denne teknologien, trenger du ikke bekymre deg for denne pekeren. Men hvis du gjør det, er det viktig at du sikrer RDP-nettverket ditt ved hjelp av passordbeskyttelse, VPN-er og deaktiverer protokollen når den ikke er direkte i bruk. Ransomware-operatører skanner ofte internett for sårbare RDP-tilkoblinger, så å legge til ekstra lag med beskyttelse vil gjøre RDP-nettverket ditt mindre utsatt for angrep.
Ransomware kan også spres via phishing, en utrolig populær modus for infeksjon og datatyveri som brukes av ondsinnede aktører. Phishing er oftest distribuert via e-post, der angriperen vil legge ved en ondsinnet lenke til e-postteksten som de vil overbevise offeret om å klikke på. Denne koblingen vil føre til et ondsinnet nettsted som kan lette infeksjon med skadelig programvare.
Å unngå phishing kan gjøres på en rekke måter, inkludert bruk av anti-spam e-postfunksjoner, lenkesjekkende nettsteder, og antivirusprogramvare. Du bør også bekrefte avsenderadressen til ny e-post og søke etter skrivefeil i e-poster (ettersom svindel-e-poster ofte er fulle av stave- og grammatiske feil).
LockBit fortsetter å være en global trussel
LockBit fortsetter å utvikle seg og målrette mot flere og flere ofre: denne løsepengevaren kommer ikke noe sted snart. For å beskytte deg mot LockBit og løsepengevare generelt, bør du vurdere noen av tipsene ovenfor. Selv om du kanskje tror at du aldri vil bli et mål, er det alltid lurt å ta de nødvendige forholdsreglene uansett.
