Что такое программа-вымогатель LockBit 3.0? Что делать, чтобы это предотвратить?

Воровство, вымогательство и выдача себя за другое лицо широко распространены в Интернете: каждый месяц тысячи людей становятся жертвами различных мошенничеств и атак. В одном из таких методов атаки используется программа- вымогатель LockBit 3.0. Так откуда же берется эта программа-вымогатель, как она используется и что вы можете сделать, чтобы защитить себя?

Откуда взялся LockBit 3.0?

ЛокБит 3.0

LockBit 3.0 (также известный как LockBit Black) — это семейство программ-вымогателей, созданное на основе семейства программ-вымогателей LockBit. Это группа программ-вымогателей, которые впервые были обнаружены в сентябре 2019 года, уже после того, как прошла первая волна атак. Первоначально LockBit назывался «вирусом .abcd», но в то время не было известно, что создатели и пользователи LockBit будут продолжать создавать новые версии оригинальной программы-вымогателя.

Семейство программ-вымогателей LockBit распространяется, но целью становятся только определенные жертвы — в основном те, кто может позволить себе заплатить крупный выкуп. Те, кто использует программу-вымогатель LockBit, часто приобретают доступ к протоколу удаленного рабочего стола (RDP) в темной сети , чтобы иметь более удаленный и простой доступ к устройствам жертв.

С момента его первого использования операторы LockBit атаковали множество организаций по всему миру, включая Великобританию, США, Украину и Францию. Это семейство вредоносных программ использует модель «Вымогатели как услуга» (RaaS), в которой пользователи могут платить операторам за получение доступа к определенному типу программ-вымогателей. Обычно это предполагает некоторую форму регистрации. Иногда пользователи могут даже проверить статистику, чтобы узнать, было ли использование программы-вымогателя LockBit успешным или нет.

Лишь в 2021 году LockBit стал популярной программой-вымогателем благодаря LockBit 2.0 (предшественнику нынешнего штамма программы-вымогателя). На этом этапе банды, использующие эту программу-вымогатель, решили применить модель двойного вымогательства. Это включает в себя как шифрование, так и эксфильтрацию (или передачу) файлов жертвы на другое устройство. Этот дополнительный метод атаки делает всю ситуацию еще более пугающей для целевого лица или организации.

Последний обнаруженный тип программы-вымогателя LockBit — LockBit 3.0. Так как же работает LockBit 3.0 и как он используется сегодня?

Что такое Локбит 3.0?

LockBit 3.0 может зашифровать и удалить все файлы на зараженном устройстве.

В конце весны 2022 года была обнаружена новая версия группы вымогателей LockBit: LockBit 3.0. Будучи программой-вымогателем, LockBit 3.0 может шифровать и удалять все файлы на зараженном устройстве, позволяя злоумышленникам удерживать данные жертвы в заложниках до тех пор, пока запрошенный выкуп не будет выплачен. Эта программа-вымогатель в настоящее время широко распространена и вызывает большое беспокойство.

Схема типичной атаки LockBit 3.0 такова:

1. LockBit 3.0 заражает устройство жертвы, шифрует файлы и присваивает зашифрованному файлу расширение «HLjkNskOq».

2. Затем для выполнения шифрования необходим ключ аргумента командной строки, называемый «-pass» .

3. LockBit 3.0 создает множество различных потоков для одновременного выполнения нескольких задач, что позволяет выполнить шифрование данных за меньшее время.

4. LockBit 3.0 удаляет определенные службы или функции, чтобы значительно упростить процесс шифрования и фильтрации.

5. API используется для ограничения доступа к базе данных менеджера управления услугами.

6. Обои на компьютере жертвы меняются, чтобы они знали, что на них напали.

Если жертвы не заплатят выкуп в течение разрешенного периода времени, злоумышленники LockBit 3.0 продадут украденные ими данные в даркнете другим киберпреступникам. Это может иметь катастрофические последствия как для жертвы, так и для организации.

На момент написания LockBit 3.0 наиболее активно использует Защитник Windows для развертывания Cobalt Strike . Это программное обеспечение также может вызвать цепочку заражений вредоносным ПО на нескольких устройствах.

Во время этого процесса используется инструмент командной строки MpCmdRun.exe, позволяющий злоумышленнику расшифровать и запустить предупреждения. Это делается путем обмана системы, заставляющей ее расставлять приоритеты и загружать вредоносную DLL (библиотеку Dynamic-Link).

Исполняемый файл MpCmdRun.exe используется Защитником Windows для сканирования на наличие вредоносных программ, тем самым защищая устройство от вредоносных файлов и программ. Cobalt Strike может обходить меры безопасности Защитника Windows, поэтому он стал очень полезен для злоумышленников-вымогателей.

Этот метод также известен как неопубликованная загрузка и позволяет злоумышленникам красть данные с зараженных устройств.

Как предотвратить вымогательство LockBit 3.0?

LockBit 3.0 вызывает растущую озабоченность, особенно среди крупных организаций с большим количеством данных, которые можно зашифровать и украсть. Важно убедиться, что вы избегаете этого типа опасной атаки.

Для этого вам сначала следует убедиться, что вы используете сверхнадежные пароли и двухфакторную аутентификацию во всех своих учетных записях. Этот дополнительный уровень безопасности может затруднить атаку киберпреступников на вас с помощью программы-вымогателя. Например, рассмотрим атаки программ-вымогателей по протоколу удаленного рабочего стола. В таком случае злоумышленник просканирует Интернет на наличие уязвимых RDP-соединений. Поэтому, если ваше соединение защищено паролем и использует 2FA, вероятность того, что вы станете мишенью, гораздо меньше.

Кроме того, вам следует всегда обновлять операционную систему и антивирусную программу на вашем устройстве. Обновления программного обеспечения могут отнимать много времени и раздражать, но есть причина, по которой они существуют. Такие обновления часто содержат исправления ошибок и дополнительные функции безопасности для защиты вашего устройства и данных, поэтому не упускайте возможность обновить свое устройство.

Еще одна важная мера, которую следует предпринять, чтобы избежать атак программ-вымогателей, — это резервное копирование файлов. Иногда злоумышленники-вымогатели по разным причинам скрывают важную информацию, которая вам нужна, поэтому наличие резервной копии в некоторой степени смягчит ущерб. Автономные копии, например, хранящиеся на USB-накопителях, могут оказаться неоценимыми, если данные будут украдены или удалены с вашего устройства.

Меры после заражения программой-вымогателем

Хотя приведенные выше рекомендации могут защитить вас от программы-вымогателя LockBit, заразить ее все же возможно. Итак, если вы обнаружили, что ваш компьютер заражен вирусом LockBit 3.0, важно не действовать поспешно. Есть шаги, которые вы можете предпринять, чтобы удалить программу-вымогатель с вашего устройства, и вам следует внимательно следовать им.

Вам также следует уведомить власти, если вы стали жертвой атаки программы-вымогателя. Это помогает заинтересованным сторонам лучше понять и устранить определенные типы программ-вымогателей.

Никто не знает, сколько еще раз программа-вымогатель LockBit 3.0 будет использоваться для угроз и эксплуатации жертв. Вот почему важно защищать ваши устройства и учетные записи всеми возможными способами, чтобы ваши конфиденциальные данные оставались в безопасности.