Если вы регулярно следите за угрозами кибербезопасности, вы, вероятно, знаете, насколько опасным стало распространение программ-вымогателей . Этот тип вредоносного ПО представляет собой серьезную угрозу для отдельных лиц и организаций, причем несколько его штаммов в настоящее время становятся лучшим выбором для злоумышленников, включая LockBit.
Так что же такое LockBit, откуда он берется и как защитить себя от этого вируса-вымогателя?
Что такое программа-вымогатель LockBit?
Хотя LockBit начинался как одно семейство программ-вымогателей, с тех пор оно несколько раз развивалось, и последняя версия получила название « LockBit 3.0 ». LockBit включает в себя семейство программ-вымогателей, работающих по модели «Вымогатели как услуга» (RaaS).
Программа-вымогатель как услуга — это бизнес-модель, которая предполагает, что пользователи платят за доступ к определенному типу программ-вымогателей, чтобы они могли использовать их для своих собственных атак. Благодаря этому этот пользователь становится партнером, и его оплата может состоять из фиксированной платы или услуги на основе подписки. Короче говоря, создатели LockBit нашли способ получить больше прибыли от его использования, используя эту модель RaaS, и, возможно, даже получить выкуп, уплаченный жертвой.
Доступ к нескольким другим программам-вымогателям можно получить через модель RaaS, включая DarkSide и REvil. Кроме того, LockBit — один из самых популярных сегодня программ-вымогателей.
Учитывая, что LockBit представляет собой семейство программ-вымогателей, его использование предполагает шифрование файлов цели. Киберпреступники тем или иным способом проникнут на устройство жертвы, возможно, через фишинговые электронные письма или вредоносные вложения, а затем с помощью LockBit зашифруют все файлы на устройстве, сделав их недоступными для пользователя.
Как только файлы жертвы будут зашифрованы, злоумышленник потребует выкуп в обмен на ключ дешифрования. Если жертва не подчинится и не заплатит выкуп, вполне вероятно, что злоумышленник затем продаст данные в темной сети с целью получения прибыли. В зависимости от того, какие данные представляют собой, это может нанести необратимый ущерб конфиденциальности человека или организации, что может усилить необходимость выплаты выкупа.
Но откуда взялся этот чрезвычайно опасный вирус-вымогатель?
Происхождение программы-вымогателя LockBit
Точно неизвестно, когда был разработан LockBit, но он известен с 2019 года, когда он был впе��вые обнаружен. Это открытие произошло после первой волны атак LockBit, когда программа-вымогатель первоначально получила название «ABCD» в соответствии с именами расширений зашифрованных файлов, использованных в атаках. Но когда злоумышленники начали вместо этого использовать расширение файла «.lockbit», название программы-вымогателя изменилось на нынешнее.
Популярность LockBit возросла после разработки второй версии LockBit 2.0. В конце 2021 года LockBit 2.0 все чаще использовался для атак, а когда другие банды, занимающиеся вымогательством, закрылись, LockBit смог воспользоваться пробелом на рынке.
Фактически, согласно отчету Пало-Альто, растущее распространение LockBit 2.0 укрепило его позиции как «наиболее широко распространенного и эффективного варианта программы-вымогателя, который мы наблюдали из всех нарушений программ-вымогателей» в первом квартале 2022 года». Вдобавок ко всему, Пало-Альто заявил в том же отчете, что операторы LockBit утверждают, что у них самое быстрое программное обеспечение для шифрования среди всех активных в настоящее время программ-вымогателей.
Вымогатель LockBit был обнаружен во многих странах мира, включая Китай, США, Францию, Украину, Великобританию и Индию. Несколько крупных организаций также подверглись атакам с помощью LockBit, в том числе Accenture, ирландско-американская компания, предоставляющая профессиональные услуги.
В 2021 году компания Accenture подверглась утечке данных с использованием LockBit: злоумышленники потребовали колоссальный выкуп в 50 миллионов долларов за более чем 6 ТБ зашифрованных данных. Accenture не согласилась выплатить этот выкуп, хотя компания подтвердила, что атака не затронула ни одного клиента.
LockBit 3.0 и его риски
Поскольку популярность LockBit растет, каждый новый вариант вызывает серьезную озабоченность. Последняя версия LockBit, получившая название LockBit 3.0, стала проблемой, особенно в операционных системах Windows.
Летом 2022 года LockBit 3.0 использовался для загрузки вредоносных полезных данных Cobalt Strike на целевые устройства с помощью эксплойтов Защитника Windows. В этой волне атак был использован исполняемый файл командной строки под названием MpCmdRun.exe, чтобы маяки Cobalt Strike могли обходить системы безопасности.
LockBit 3.0 также использовался для использования командной строки VMWare под названием VMwareXferlogs.exe для повторного развертывания полезной нагрузки Cobalt Strike. Неизвестно, будут ли эти атаки продолжаться или перерастут во что-то совершенно иное.
Очевидно, что программа-вымогатель LockBit представляет собой высокий риск, как и многие другие программы-вымогатели. Так как же обезопасить себя?
Как защитить себя от программы-вымогателя LockBit
Поскольку для шифрования файлов на вашем устройстве сначала должна присутствовать программа-вымогатель LockBit, вам необходимо в первую очередь полностью предотвратить заражение. Хотя гарантировать защиту от программ-вымогателей сложно, вы можете многое сделать.
Во-первых, никогда не загружайте файлы или программы с нелегальных веб-сайтов. Загрузка любого типа непроверенного файла на ваше устройство может предоставить злоумышленникам-вымогателям легкий доступ к вашим файлам. Убедитесь, что вы используете для загрузки только надежные веб-сайты с хорошим рейтингом или официальные магазины приложений для установки программного обеспечения.
Еще один фактор, о котором следует помнить, заключается в том, что программы-вымогатели LockBit часто распространяются через протокол удаленного рабочего стола (RDP). Если вы не используете эту технологию, вам не нужно слишком беспокоиться. Однако если вы это сделаете, важно защитить свою сеть RDP, используя защиту паролем, VPN и деактивируя протокол, когда он не используется напрямую. Операторы программ-вымогателей часто сканируют Интернет на предмет уязвимых соединений RDP, поэтому добавление дополнительных уровней защиты сделает вашу сеть RDP менее уязвимой для атак.
Программы-вымогатели также могут распространяться посредством фишинга — чрезвычайно распространенного метода заражения и кражи данных, используемого злоумышленниками. Фишинг чаще всего реализуется через электронную почту, когда злоумышленник прикрепляет к телу электронного письма вредоносную ссылку, на которую он убедит жертву нажать. Эта ссылка приведет на вредоносный веб-сайт, который может способствовать заражению вредоносным ПО.
Предотвратить фишинг можно разными способами, включая использование функций защиты от спама, веб-сайтов проверки ссылок и антивирусного программного обеспечения. Вам также следует проверить адрес отправителя любого нового электронного письма и проверить его на наличие орфографических ошибок (поскольку фишинговые электронные письма часто содержат множество орфографических и грамматических ошибок).
LockBit продолжает становиться глобальной угрозой
LockBit продолжает расти и нацеливается на все больше и больше жертв: этот вирус-вымогатель появится не в ближайшее время. Чтобы обезопасить себя от LockBit и программ-вымогателей в целом, примите во внимание некоторые из приведенных выше советов. Хотя вы можете думать, что никогда не станете мишенью, вам все равно следует принять необходимые меры предосторожности.