Stöld, utpressning, utpressning och identitetsstöld är utbredd på nätet, med tusentals människor som faller offer för olika bedrägerier och attacker varje månad. Ett sådant attacksätt använder ett slags ransomware som kallas LockBit 3.0. Så var kom denna ransomware ifrån, hur används den och vad kan du göra för att skydda dig själv?

Var kom LockBit 3.0 ifrån?

LockBit 3.0 (även känd som LockBit Black) är en stam av ransomware som kommer från LockBit ransomware-familjen. Detta är en grupp ransomware-program som först upptäcktes i september 2019, efter att den första vågen av attacker ägde rum. Till en början kallades LockBit för ".abcd-viruset", men vid den tidpunkten var det inte känt att LockBits skapare och användare skulle fortsätta att skapa nya iterationer av den ursprungliga ransomwaren program.

LockBits familj av ransomware-program sprider sig själv, men det är bara vissa offer som riktas mot dem – främst de som har förmågan att betala en stor lösensumma. De som använder LockBit ransomware köper ofta åtkomst till Remote Desktop Protocol (RDP) på den mörka webben så att de kan komma åt offrens enheter på distans och enklare.

instagram viewer

LockBits operatörer har riktat in sig på organisationer runt om i världen sedan dess första användning, inklusive Storbritannien, USA, Ukraina och Frankrike. Denna familj av skadliga program använder Ransomware-as-a-Service (RaaS) modell, där användare kan betala operatörerna för att få tillgång till en viss typ av ransomware. Det handlar ofta om någon form av abonnemang. Ibland kan användare till och med kontrollera statistik för att se om deras användning av LockBit ransomware lyckades.

Det var inte förrän 2021 som LockBit blev en utbredd sorts ransomware, genom LockBit 2.0 (den nuvarande stammens föregångare). Vid det här laget beslutade gängen som använde denna ransomware att göra det anta den dubbla utpressningsmodellen. Detta innebär både att kryptera och exfiltrera (eller överföra) ett offers filer till en annan enhet. Denna extra attackmetod gör hela situationen ännu mer läskig för den riktade individen eller organisationen.

Den senaste typen av LockBit ransomware har identifierats som LockBit 3.0. Så, hur fungerar LockBit 3.0 och hur används det idag?

Vad är LockBit 3.0?

I slutet av våren 2022 upptäcktes en ny iteration av LockBit ransomware-gruppen: LockBit 3.0. Som ett ransomware-program kan LockBit 3.0 kryptera och exfiltrera alla filer på en infekterad enhet, så att angriparen kan hålla offrets data som gisslan tills den begärda lösen är betalas. Denna ransomware är nu aktiv i naturen och orsakar mycket oro.

Processen för en typisk LockBit 3.0-attack är:

  1. LockBit 3.0 infekterar ett offers enhet, krypterar filer och lägger till förlängningen av krypterade filer som "HLjkNskOq".
  2. En kommandoradsargumentnyckel känd som "-pass" krävs sedan för att utföra krypteringen.
  3. LockBit 3.0 skapar olika trådar för att utföra flera uppgifter samtidigt så att datakrypteringen kan slutföras på kortare tid.
  4. LockBit 3.0 tar bort vissa tjänster eller funktioner för att göra krypterings- och exfiltreringsprocessen mycket enklare.
  5. Ett API används för att hysa åtkomst till tjänstekontrollhanterarens databas.
  6. Offrets skrivbordsbakgrund ändras så att de vet att de är under attack.

Om lösensumman inte betalas av offret inom den tid som krävs, kommer LockBit 3.0-angripare sedan sälja den data de har stulit på den mörka webben till andra cyberbrottslingar. Detta kan vara katastrofalt för både ett enskilt offer och en organisation.

I skrivande stund är LockBit 3.0 mest känd för utnyttjar Windows Defender för att distribuera Cobalt Strike, ett penetrationstestverktyg som kan släppa nyttolaster. Denna programvara kan också orsaka en kedja av malwareinfektioner på flera enheter.

I denna process utnyttjas kommandoradsverktyget MpCmdRun.exe så att angriparen kan dekryptera och starta beacons. Detta görs genom att lura systemet att prioritera och ladda en skadlig DLL (Dynamic-Link Library).

Den körbara filen MpCmdRun.exe används av Windows Defender för att söka efter skadlig programvara, vilket skyddar enheten från skadliga filer och program. Med tanke på att Cobalt Strike kan kringgå säkerhetsåtgärder i Windows Defender har det blivit mycket användbart för angripare med ransomware.

Den här tekniken är också känd som sidladdning och tillåter illvilliga parter att lagra eller stjäla data från infekterade enheter.

Hur man undviker LockBit 3.0 Ransomware

LockBit 3.0 är ett ökande problem, särskilt bland större organisationer som har mängder av data som kan krypteras och exfiltreras. det är viktigt att se till att du undviker denna farliga typ av attack.

För att göra detta bör du först se till att du använder superstarka lösenord och tvåfaktorsautentisering på alla dina konton. Detta extra lager av säkerhet kan göra det så mycket svårare för cyberbrottslingar att attackera dig med ransomware. Överväga Remote Desktop Protocol ransomware-attacker, till exempel. I ett sådant scenario kommer angriparen att skanna internet efter sårbara RDP-anslutningar. Så om din anslutning är lösenordsskyddad och använder 2FA, är det mycket mindre sannolikt att du blir riktad.

Dessutom bör du alltid hålla dina enheters operativsystem och antivirusprogram uppdaterade. Programuppdateringar kan vara tidskrävande och frustrerande, men det finns en anledning till att de finns. Sådana uppdateringar kommer ofta med buggfixar och extra säkerhetsfunktioner för att skydda dina enheter och data, så missa inte möjligheten att hålla dina enheter uppdaterade.

En annan viktig åtgärd att vidta för att inte undvika ransomware-attacker, men deras konsekvenser, är att säkerhetskopiera filer. Ibland kommer ransomware-angripare att undanhålla viktig information som du behöver av olika anledningar, så att ha en säkerhetskopia minskar skadans omfattning till viss del. Offlinekopior, som de som lagras på ett USB-minne, kan vara ovärderliga när data stjäls eller raderas från din enhet.

Åtgärder efter infektion

Även om ovanstående förslag kan skydda dig mot LockBit ransomware, finns det fortfarande en risk för infektion. Så om du upptäcker att din dator har blivit infekterad av LockBit 3.0, är ​​det viktigt att inte agera irrationellt. Det finns steg du kan ta till ta bort ransomware från din enhet, som du bör följa noga och noggrant.

Du bör också varna myndigheterna om du har fallit offer för en ransomware-attack. Detta hjälper de berörda parterna att bättre förstå och hantera en given stam av ransomware.

LockBit 3.0-attacker kan fortsätta

Ingen vet hur många fler gånger LockBit 3.0 ransomware kommer att användas för att hota och utnyttja offer. Det är därför det är viktigt att skydda dina enheter och konton på alla möjliga sätt, så att din känsliga data förblir säker.