Добрый день, друзья. Что такое программа вымогатель LockBit 3.0 и что вы можете с этим поделать? Она также известна как LockBit Black, эта программа-вымогатель использует метод двойного вымогательства, чтобы получить от вас как можно больше денег. Вот что вам нужно знать.
Кражи, вымогательство, шантаж и выдача себя за других широко распространены в интернете, и каждый месяц тысячи людей становятся жертвами различных мошенничеств и атак. В одном из таких способов атаки используется своего рода программа-вымогатель, известная как LockBit 3.0. Итак, откуда взялась эта программа-вымогатель, как она используется и что вы можете сделать, чтобы защитить себя?
Откуда взялся LockBit 3.0?
LockBit 3.0 (также известная как LockBit Black) — это разновидность программ-вымогателей из семейства программ-вымогателей LockBit. Это группа программ-вымогателей, которая была впервые обнаружена в сентябре 2019 года после того, как произошла первая волна атак. Первоначально LockBit упоминался как «вирус.abcd», но, на тот момент не было известно, что создатели и хозяева LockBit продолжат создавать новые версии оригинальной программы-вымогателя.
Семейство программ—вымогателей LockBit распространяется самостоятельно, но нацелены только на определенных жертв — в основном на тех, кто способен заплатить большой выкуп. Те, кто использует программу-вымогатель LockBit, часто приобретают доступ по протоколу удаленного рабочего стола (RDP) в DarkNet, чтобы они могли удаленно и проще получать доступ к устройствам жертв.
Операторы LockBit нацелились на организации по всему миру с момента его первого использования, включая Великобританию, США, Украину и Францию. Это семейство вредоносных программ использует модель Ransomware-as-a-Service (RaaS), при которой пользователи могут платить операторам за доступ к определенному виду программ-вымогателей. Это часто связано с какой-либо формой подписки. Иногда пользователи могут даже проверить статистику, чтобы узнать, было ли успешным их использование программы-вымогателя LockBit.
Только в 2021 году LockBit стал распространенным видом вымогателей благодаря LockBit 2.0 (предшественнику текущего штамма). На данный момент банды, которые использовали эту программу-вымогатель, решили использовать модель двойного вымогательства. Это включает в себя как шифрование, так и эксфильтрацию (или передачу) файлов жертвы на другое устройство. Этот дополнительный метод атаки делает всю ситуацию еще более пугающей для целевого человека или организации.
Самый последний вид вымогателей LockBit был идентифицирован как LockBit 3.0. Итак, как работает LockBit 3.0 и как он используется сегодня?
Что такое LockBit 3.0?
В конце весны 2022 года была обнаружена новая итерация группы программ-вымогателей LockBit: LockBit 3.0. Как программа-вымогатель, LockBit 3.0 может шифровать и извлекать все файлы на зараженном устройстве, позволяя злоумышленнику удерживать данные жертвы в заложниках, до тех пор, пока не будет выплачен запрошенный выкуп. Эта программа-вымогатель в настоящее время довольно активна и вызывает много беспокойства среди людей.
Процесс типичной атаки LockBit 3.0:
- LockBit 3.0 заражает устройство жертвы, шифрует файлы и добавляет расширение зашифрованных файлов как “HLjkNskOq”.
- Затем, для выполнения шифрования требуется ключ аргумента командной строки, известный как «pass».
- LockBit 3.0 создает различные потоки для одновременного выполнения нескольких задач, чтобы шифрование данных можно было выполнить за меньшее время.
- LockBit 3.0 удаляет определенные службы или функции, чтобы значительно упростить процесс шифрования и эксфильтрации.
- API используется для доступа к базе данных Service Control Manager.
- Обои рабочего стола жертвы меняются, чтобы они знали, что они подвергаются атаке.
Если жертва не заплатит выкуп в течение требуемого периода времени, злоумышленники LockBit 3.0 продадут данные, которые они украли в темной сети, другим киберпреступникам. Это может иметь катастрофические последствия как для отдельной жертвы, так и для организации.
На момент написания статьи LockBit 3.0 наиболее известен тем, что использует Windows Defender для развертывания Cobalt Strike, инструмента тестирования на проникновение, который может сбрасывать полезную нагрузку. Это программное обеспечение также может вызвать цепочку заражений вредоносным ПО на нескольких устройствах.
В этом процессе инструмент командной строки MpCmdRun.exe используется для того, чтобы злоумышленник мог расшифровать и запустить маяки. Это делается путем обмана системы с целью определения приоритетов и загрузки вредоносной DLL (библиотеки динамических ссылок).
MpCmdRun.exe, исполняемый файл используется Защитником Windows для проверки на наличие вредоносных программ, тем самым защищая устройство от вредоносных файлов и программ. Учитывая, что Cobalt Strike может обходить меры безопасности защитника Windows, он стал очень полезным для злоумышленников-вымогателей.
Этот метод также известен как побочная загрузка и позволяет злоумышленникам укрывать или красть данные с зараженных устройств.
Как избежать программ-вымогателей LockBit 3.0
LockBit 3.0 вызывает все большую озабоченность, особенно среди крупных организаций, у которых есть массивы данных, которые можно зашифровать и извлечь. Важно убедиться, что вы избегаете этого опасного вида атаки.
Для этого вам вначале следует убедиться, что вы используете сверхнадежные пароли и двухфакторную аутентификацию для всех своих учетных записей. Этот дополнительный уровень безопасности может значительно затруднить киберпреступникам атаку на вас с помощью программы-вымогателя. Рассмотрим, например, атаки вымогателей по протоколу удаленного рабочего стола. В таком сценарии злоумышленник будет сканировать Интернет на наличие уязвимых RDP-соединений. Итак, если ваше соединение защищено паролем и использует 2FA, у вас гораздо меньше шансов стать мишенью.
Кроме того, вы всегда должны обновлять операционные системы и антивирусные программы своих устройств. Обновления программного обеспечения могут отнимать много времени и проводить обновления не вовремя. Но есть причина, по которой они существуют. Такие обновления часто содержат исправления ошибок и дополнительные функции безопасности для защиты ваших устройств и данных, поэтому не упустите возможность обновлять свои устройства.
Еще одной важной мерой, которую следует предпринять не для предотвращения атак вымогателей, а для предотвращения их последствий, является резервное копирование файлов. Иногда злоумышленники-вымогатели скрывают важную информацию, которая вам нужна по разным причинам, поэтому наличие резервной копии в некоторой степени снижает степень ущерба. Автономные копии, например, хранящиеся на USB-накопителе, могут оказаться неоценимыми при краже или удалении данных с вашего устройства.
Меры после заражения
Хотя приведенные выше рекомендации могут защитить вас от программ-вымогателей LockBit, вероятность заражения все еще существует. Итак, если вы обнаружите, что ваш компьютер заражен LockBit 3.0, важно действовать рационально. Существуют шаги, которые вы можете предпринять для удаления программ-вымогателей с вашего устройства, которым вы должны внимательно и тщательно следовать. Советую вам установить один из наиболее сильных антивирусов: Kaspersky, ESET, Quickheal, AVG, Emsisoft. Если у вас их нет, в этом случае не отключайте «Защитник Windows».
Вы также должны предупредить власти, если вы стали жертвой атаки вымогателей. Это помогает соответствующим сторонам лучше понимать и бороться с данным видом вымогателей.
Вывод: никто не знает, сколько еще раз программа-вымогатель LockBit 3.0 будет использоваться для угроз и эксплуатации жертв. Вот почему так важно защищать свои устройства и учетные записи всеми возможными способами, чтобы ваши конфиденциальные данные оставались в безопасности. Берегите свои данные!
С уважением, Андрей Зимин 13.08.2022
