Ako ste u tijeku s prijetnjama kibernetičkoj sigurnosti, vjerojatno ste svjesni koliko je ransomware postao opasno popularan. Ova vrsta zlonamjernog softvera velika je prijetnja pojedincima i organizacijama, a neki sojevi sada postaju najbolji izbor za zlonamjerne aktere, uključujući LockBit. Dakle, što je LockBit, odakle je došao i kako se možete zaštititi od njega? Više o ovome ćemo govoriti u nastavku članka.
Što uopće jest LockBit Ransomware?
Dok je LockBit započeo kao jedna pdovrsta ransomwarea, od tada je evoluirao više puta, a najnovija verzija je poznata kao “LockBit 3.0”, o čemu ćemo govoriti malo kasnije. LockBit obuhvaća obitelj ransomware programa koji rade koristeći model Ransomware-as-a-Service (RaaS).
Ransomware-as-a-Service poslovni je model koji uključuje plaćanje korisnika za pristup određenoj vrsti ransomwarea, kako bi ga mogli koristiti za vlastite napade. Na taj način korisnici postaju pridruženi partneri, a njihovo plaćanje može uključivati paušalnu naknadu ili uslugu temeljenu na pretplati. Ukratko, kreatori LockBita pronašli su način da dodatno profitiraju od njegove upotrebe korištenjem ovog RaaS modela te čak mogu dobiti dio otkupnine koju su platile žrtve.
Preko RaaS modela može se pristupiti brojnim drugim ransomware programima, uključujući DarkSide i REvil. Uz njih, LockBit je jedan od najpopularnijih tipova ransomwarea koji se danas koriste. S obzirom na to da je LockBit obitelj ransomwarea, njegova upotreba uključuje enkripciju ciljnih datoteka. Cyberkriminalci će se infiltrirati u žrtvin uređaj na ovaj ili onaj način, možda putem phishing e-pošte ili zlonamjernog privitka, a zatim će koristiti LockBit za kodiranje svih datoteka na uređaju, tako da budu nedostupne korisniku.
Nakon što su žrtvine datoteke zaključane, napadač će tražiti otkupninu u zamjenu za ključ za dekodiranje. Ako žrtva ne posluša i ne plati otkupninu, vrlo je vjerojatno da će napadač prodati podatke na mračnom webu radi zarade. Ovisno o tome koji su podaci, to može uzrokovati nepopravljivu štetu privatnosti pojedinca ili organizacije, što može povećati pritisak u vezi plaćanja otkupnine.
Odakle potiče ovaj vrlo opasan ransomware program?
Podrijetlo LockBit Ransomwarea
Ne zna se točno kada je LockBit razvijen, ali njegova priznata povijest seže do 2019. godine, kada je prvi put pronađen. Ovo otkriće došlo je nakon prvog vala napada LockBita, kada je ransomware u početku skovan “ABCD” u odnosu na naziv proširenja kodiranih datoteka iskorištavanih tijekom napada. Ali kada su napadači umjesto toga počeli koristiti ekstenziju datoteke “.lockbit”, naziv ransomwarea promijenio se u današnji. Popularnost LockBita porasla je nakon razvoja njegove druge iteracije, LockBit 2.0. Krajem 2021., podružnice su sve više koristile LockBit 2.0 za napade, a nakon zatvaranja drugih grupa ransomwarea, LockBit je uspio iskoristiti prazninu na tržištu.
Zapravo, povećana upotreba LockBita 2.0 učvrstila je njegovu poziciju kao “najutjecajnije i najraširenije varijante ransomwarea koju smo primijetili u svim kršenjima ransomwarea tijekom prvog kvartala 2022.”, navodi se u izvješću Palo Altoa. Povrh toga, Palo Alto je u istom izvješću naveo da LockBitovi operateri tvrde da imaju najbrži softver za šifriranje od bilo kojeg trenutno aktivnog ransomwarea.
LockBit ransomware uočen je u više zemalja diljem svijeta, uključujući Kinu, SAD, Francusku, Ukrajinu, Veliku Britaniju i Indiju. Brojne velike organizacije također su bile meta korištenja LockBita, uključujući Accenture, irsko-američku tvrtku za profesionalne usluge. Accenture je pretrpio povredu podataka kao rezultat korištenja LockBita 2021. godine, a napadači su tražili ogromnu otkupninu od 50 milijuna dolara, s više od 6 TB podataka koji su kodirani. Accenture nije pristao platiti ovu otkupninu, iako je tvrtka tvrdila da nijedan kupac nije bio pogođen napadom.
LockBit 3.0 i rizici koji dolaze s njime
Kako popularnost LockBita raste, svaka nova iteracija predstavlja ozbiljan problem. Najnovija verzija LockBita, poznata kao LockBit 3.0, već je postala problem, posebno unutar Windows operativnih sustava. U ljeto ove godine, LockBit 3.0 korišten je za učitavanje štetnih Cobalt Strike korisnih opterećenja na ciljane uređaje putem iskorištavanja Windows Defendera.
U ovom valu napada zloupotrijebljena je izvršna datoteka naredbenog retka poznata kao MpCmdRun.exe, tako da svjetionici Cobalt Strike mogu zaobići sigurnosnu detekciju. LockBit 3.0 također je korišten u iskorištavanju VMWare naredbenog retka poznatog kao VMwareXferlogs.exe za ponovno postavljanje Cobalt Strike korisnih opterećenja. Ne zna se hoće li se ovi napadi nastaviti ili će prerasti u nešto sasvim drugo. Očito je da je LockBit ransomware visok rizik, kao što je slučaj s mnogim ransomware programima. No, što možemo učiniti kako bismo se zaštitili?
Kako se najbolje zaštititi od LockBit Ransomwarea?
S obzirom da LockBit ransomware najprije mora biti prisutan na vašem uređaju za kodiranje datoteka, morate ga pokušati maknuti odmah u korijenu i tako u potpunosti spriječiti mogućnosti širenja i zaraze računala. Iako je teško zajamčiti postotak zaštite od ransomwarea, postoji mnogo toga što možete učiniti vi kao korisnik, kako biste se u što većoj mjeri zaštitili od ove prijetnje.
Najprije, bitno je da nikada ne preuzimate datoteke ili softverske programe s internetskih stranica koje nisu posve legitimna. Preuzimanje bilo koje neprovjerene datoteke na vaš uređaj može napadaču ransomwarea omogućiti lak pristup vašim datotekama. Uvjerite se da koristite samo pouzdane i dobro pregledane stranice za svoja preuzimanja ili službene trgovine aplikacija za instalaciju softvera. Drugi čimbenik koji treba napomenuti je da se LockBit ransomware često širi putem protokola udaljene radne površine (RDP). Ako ne koristite ovu tehnologiju, ne morate brinuti o ovome. Međutim, ako to učinite, važno je da svoju RDP mrežu zaštitite zaštitom lozinkom, VPN-ovima i deaktiviranjem protokola kada nije izravno u upotrebi.
Operateri ransomwarea često skeniraju internet tražeći ranjive RDP veze, tako da će dodavanje dodatnih slojeva zaštite vašu RDP mrežu učiniti manje osjetljivom na napade. Ransomware se također može širiti putem krađe identiteta, nevjerojatno popularnog načina zaraze i krađe podataka koji koriste zlonamjerni akteri. Phishing se najčešće provodi putem e-pošte, pri čemu će napadač priložiti zlonamjernu poveznicu tijelu e-pošte u vezi koje će uvjeriti potencijalnu žrtvu da klikne na nju. Ova poveznica vodi do zlonamjerne internetske stranice, koja može omogućiti zarazu računala ili više računalnih sustava zlonamjernim softverom.
Izbjegavanje krađe identiteta može se učiniti na više načina, uključujući korištenje značajki za zaštitu od neželjene e-pošte, web stranica za provjeru poveznica i antivirusnog softvera. Također biste trebali provjeriti adresu pošiljatelja svake nove e-pošte i skenirati ima li pogrešaka pri upisu u e-porukama, jer su e-poruke koje sadrže zlonamjernu poveznicu ili bilo kakav zlonamjerni sadržaj, često pune pravopisnih i gramatičkih pogrešaka.
LockBit je i dalje vrlo opasna prijetnja
LockBit se nastavlja razvijati i cilja na sve više i više žrtava. Jasni je da ovaj ransomware nažalost, neće nestati samo tako. Kako biste se zaštitili od LockBita i ransomwarea općenito, razmotrite savjete koji su napisani gore. Iako možda mislite da nikada nećete postati meta, uvijek je dobra i pametna ideja poduzeti mjere opreza.
Piše: Ivan Hečimović
