Om du håller dig uppdaterad om cybersäkerhetshot är du förmodligen medveten om hur farligt populärt ransomware har blivit. Denna typ av skadlig programvara är ett stort hot mot både individer och organisationer, med vissa stammar som nu blir ett toppval för illvilliga aktörer, inklusive LockBit.
Så, vad är LockBit, var kom det ifrån och hur kan du skydda dig från det?
Vad är LockBit Ransomware?
Medan LockBit började som en enda stam av ransomware, har den sedan dess utvecklats flera gånger, med den senaste versionen känd som "LockBit 3.0" (som vi kommer att diskutera lite senare). LockBit spänner över en familj av ransomware-program, som fungerar med hjälp av Ransomware-as-a-Service (RaaS) modell.
Ransomware-as-a-Service är en affärsmodell som innebär att användare betalar för åtkomst till en given sorts ransomware så att de kan använda den för sina egna attacker. Genom detta blir användarna affiliates, och deras betalning kan innebära en fast avgift eller en prenumerationsbaserad tjänst. Kort sagt, LockBits skapare har hittat ett sätt att ytterligare dra nytta av dess användning genom att använda denna RaaS-modell, och kan till och med få en sänkning av lösensumman som betalas ut av offren.
Ett antal andra ransomware-program kan nås via RaaS-modellen, inklusive DarkSide och REvil. Vid sidan av dessa är LockBit en av de mest populära typerna av ransomware som används idag.
Med tanke på att LockBit är en ransomware-familj, involverar dess användning kryptering av ett måls filer. Cyberbrottslingar kommer att infiltrera ett offers enhet på ett eller annat sätt, kanske genom ett nätfiske-e-postmeddelande eller skadlig bilaga och kommer sedan att använda LockBit för att kryptera alla filer på enheten så att de är oåtkomliga för användare.
När offrets filer har krypterats kommer angriparen att kräva en lösensumma i utbyte mot dekrypteringsnyckeln. Om offret inte följer det och betalar lösensumman är det troligt att angriparen sedan säljer data på den mörka webben i vinstsyfte. Beroende på vilken data det handlar om kan detta orsaka oåterkalleliga skador på en individs eller organisations integritet, vilket kan öka pressen att betala lösensumman.
Men var kom denna mycket farliga ransomware ifrån?
Ursprunget till LockBit Ransomware
Det är inte känt exakt när LockBit utvecklades, men dess erkända historia sträcker sig tillbaka till 2019, då den först hittades. Denna upptäckt kom efter LockBits första våg av attacker, när ransomware ursprungligen myntades "ABCD" med hänvisning till tilläggsnamnet på de krypterade filerna som utnyttjades under attacker. Men när angriparna började använda filtillägget ".lockbit" istället ändrades namnet på ransomware till vad det är idag.
LockBits popularitet ökade efter utvecklingen av dess andra iteration, LockBit 2.0. I slutet av 2021 användes LockBit 2.0 alltmer av affiliates för attacker, och när andra ransomware-gäng stängdes, kunde LockBit dra fördel av luckan i marknadsföra.
Faktum är att den ökade användningen av LockBit 2.0 befäste sin position som "den mest effektfulla och brett utplacerade ransomware-variant vi har observerat i alla ransomware-intrång under första kvartalet 2022", enligt a Rapport från Palo Alto. Utöver detta uppgav Palo Alto i samma rapport att LockBits operatörer hävdar att de har den snabbaste krypteringsmjukvaran av alla för närvarande aktiva ransomware.
LockBit ransomware har upptäckts i flera länder över hela världen, inklusive Kina, USA, Frankrike, Ukraina, Storbritannien och Indien. Ett antal stora organisationer har också blivit inriktade på att använda LockBit, inklusive Accenture, ett irländsk-amerikanskt professionellt tjänsteföretag.
Accenture drabbades av ett dataintrång som ett resultat av LockBits användning 2021, där angriparna krävde en enorm lösensumma på 50 miljoner dollar, med över 6 TB data krypterad. Accenture gick inte med på att betala denna lösensumma, även om företaget hävdade att inga kunder hade påverkats av attacken.
LockBit 3.0 och dess risker
När LockBits popularitet ökar är varje ny iteration ett allvarligt problem. Den senaste versionen av LockBit, känd som LockBit 3.0, har redan blivit ett problem, särskilt inom Windows operativsystem.
Sommaren 2022 var LockBit 3.0 används för att ladda skadliga Cobalt Strike-nyttolaster på riktade enheter genom att utnyttja Windows Defender. I denna våg av attacker missbrukades en körbar kommandoradsfil känd som MpCmdRun.exe, så att Cobalt Strike-beacons kan kringgå säkerhetsdetektering.
LockBit 3.0 har också använts för att utnyttja en VMWare-kommandorad känd som VMwareXferlogs.exe för att återigen distribuera Cobalt Strike-nyttolaster. Det är inte känt om dessa attacker kommer att fortsätta eller utvecklas till något helt annat.
Det är uppenbart att LockBit ransomware är en hög risk, vilket är fallet för många ransomware-program. Så, hur kan du hålla dig själv säker?
Hur du skyddar dig från LockBit Ransomware
Med tanke på att LockBit ransomware först måste finnas på din enhet för att kryptera filer, måste du försöka klippa av den vid källan och förhindra infektion helt och hållet. Även om det är svårt att garantera ditt skydd mot ransomware, finns det mycket du kan göra för att undvika så mycket som möjligt.
För det första är det viktigt att du aldrig laddar ner några filer eller program från webbplatser som inte är helt legitima. Att ladda ner någon form av overifierad fil till din enhet kan ge en ransomware-angripare enkel åtkomst till dina filer. Se till att du bara använder pålitliga och väl granskade webbplatser för dina nedladdningar, eller officiella appbutiker för installation av programvara.
En annan faktor att notera är att LockBit ransomware ofta är sprids via Remote Desktop Protocol (RDP). Om du inte använder den här tekniken behöver du inte oroa dig för den här pekaren. Men om du gör det är det viktigt att du säkrar ditt RDP-nätverk med lösenordsskydd, VPN och inaktiverar protokollet när det inte används direkt. Ransomware-operatörer söker ofta på internet efter sårbara RDP-anslutningar, så att lägga till extra lager av skydd kommer att göra ditt RDP-nätverk mindre mottagligt för attacker.
Ransomware kan också spridas via nätfiske, ett otroligt populärt sätt för infektion och datastöld som används av illvilliga aktörer. Nätfiske distribueras oftast via e-post, där angriparen kommer att bifoga en skadlig länk till e-postmeddelandet som de kommer att övertyga offret att klicka på. Den här länken leder till en skadlig webbplats som kan underlätta infektion med skadlig programvara.
Att undvika nätfiske kan göras på ett antal sätt, inklusive användning av anti-spam e-postfunktioner, länkkontrollerande webbplatseroch antivirusprogram. Du bör också verifiera avsändaradressen för alla nya e-postmeddelanden och söka efter stavfel i e-postmeddelanden (eftersom bluffmejl ofta är fyllda med stavfel och grammatiska fel).
LockBit fortsätter att vara ett globalt hot
LockBit fortsätter att utvecklas och riktar sig mot fler och fler offer: den här ransomwaren kommer ingenstans inom kort. För att skydda dig från LockBit och ransomware i allmänhet, överväg några av tipsen ovan. Även om du kanske tror att du aldrig kommer att bli ett mål, är det alltid klokt att vidta nödvändiga försiktighetsåtgärder ändå.