Крађа, изнуда, уцена и лажно представљање су распрострањени на интернету, а хиљаде људи постају жртве разних превара и напада сваког месеца. Један такав начин напада користи неку врсту рансомваре-а познату као ЛоцкБит 3.0. Дакле, одакле је дошао овај рансомвер, како се користи и шта можете да урадите да бисте се заштитили?

Одакле је дошао ЛоцкБит 3.0?

ЛоцкБит 3.0 (такође познат као ЛоцкБит Блацк) је врста рансомвера који потиче из породице ЛоцкБит рансомвера. Ово је група рансомваре програма који је први пут откривен у септембру 2019. године, након што се догодио први талас напада. У почетку, ЛоцкБит се називао „.абцд вирус“, али у том тренутку није било познато да ЛоцкБит-ови креатори и корисници би наставили да креирају нове итерације оригиналног рансомваре-а програм.

ЛоцкБит-ова породица програма рансомваре-а се сама шири, али су на мети само одређене жртве — углавном оне које имају могућност да плате велики откуп. Они који користе ЛоцкБит рансомваре често купују приступ протоколу удаљене радне површине (РДП) на мрачном вебу како би могли даљински и лакше приступити уређајима жртава.

ЛоцкБит-ови оператери су циљали организације широм света од његове прве употребе, укључујући Велику Британију, САД, Украјину и Француску. Ова породица злонамерних програма користи Рансомваре-ас-а-Сервице (РааС) модел, у коме корисници могу да плате оператерима да имају приступ датој врсти рансомваре-а. Ово често укључује неки облик претплате. Понекад корисници чак могу да провере статистику да виде да ли је њихова употреба ЛоцкБит рансомваре-а била успешна.

Тек 2021. ЛоцкБит је постао распрострањена врста рансомваре-а, кроз ЛоцкБит 2.0 (претходник актуелног соја). У овом тренутку, банде које су користиле овај рансомваре одлучиле су да усвојити модел двоструке изнуде. Ово укључује и шифровање и ексфилтрацију (или пренос) датотека жртве на други уређај. Овај додатни метод напада чини читаву ситуацију још страшнијом за циљану особу или организацију.

Најновија врста ЛоцкБит рансомваре-а идентификована је као ЛоцкБит 3.0. Дакле, како функционише ЛоцкБит 3.0 и како се данас користи?

Шта је ЛоцкБит 3.0?

Крајем пролећа 2022. откривена је нова итерација групе ЛоцкБит рансомваре-а: ЛоцкБит 3.0. Као рансомваре програм, ЛоцкБит 3.0 може да шифрује и ексфилтрирати све датотеке на зараженом уређају, омогућавајући нападачу да држи податке жртве као таоце наизглед све док се тражени откуп не плаћени. Овај рансомвер је сада активан у дивљини и изазива велику забринутост.

Процес типичног ЛоцкБит 3.0 напада је:

  1. ЛоцкБит 3.0 инфицира уређај жртве, шифрује датотеке и додаје екстензију шифрованих датотека као „ХЉкНскОк“.
  2. Тада је потребан кључ аргумента командне линије познат као "-пасс" да би се извршило шифровање.
  3. ЛоцкБит 3.0 креира различите нити за обављање више задатака истовремено тако да се шифровање података може завршити за краће време.
  4. ЛоцкБит 3.0 брише одређене услуге или функције да би процес шифровања и ексфилтрације био много лакши.
  5. АПИ се користи да омогући приступ бази података менаџера контроле услуга.
  6. Позадина радне површине жртве је промењена тако да зна да је нападнута.

Ако жртва не плати откупнину у потребном временском периоду, ЛоцкБит 3.0 нападачи ће затим продати податке које су украли на мрачном вебу другим сајбер криминалцима. Ово може бити катастрофално и за појединачну жртву и за организацију.

У време писања, ЛоцкБит 3.0 је најистакнутији за искоришћавање Виндовс Дефендер-а за примену Цобалт Стрике-а, алат за тестирање пенетрације који може испустити корисна оптерећења. Овај софтвер такође може да изазове ланац инфекција малвером на више уређаја.

У овом процесу, алатка командне линије МпЦмдРун.еке се експлоатише тако да нападач може да дешифрује и покрене светионике. Ово се постиже преваривањем система да одреди приоритет и учита злонамерни ДЛЛ (Динамиц-Линк Либрари).

Извршну датотеку МпЦмдРун.еке користи Виндовс заштитник за скенирање у потрази за малвером, чиме штити уређај од штетних датотека и програма. С обзиром да Цобалт Стрике може заобићи сигурносне мере Виндовс Дефендер-а, постао је веома користан за нападаче рансомваре-а.

Ова техника је такође позната као бочно учитавање и омогућава злонамерним странама да скривају или украду податке са заражених уређаја.

Како избећи ЛоцкБит 3.0 Рансомваре

ЛоцкБит 3.0 је све већа брига, посебно међу већим организацијама које имају гомилу података који се могу шифровати и ексфилтрирати. важно је осигурати да се клоните ове опасне врсте напада.

Да бисте то урадили, прво се уверите да користите супер-јаке лозинке и двофакторску аутентификацију на свим својим налозима. Овај додатни слој сигурности може отежати сајбер криминалцима да вас нападну помоћу софтвера за рансомваре. Размотрити Напади рансомваре протокола за удаљену радну површину, на пример. У таквом сценарију, нападач ће скенирати интернет у потрази за рањивим РДП везама. Дакле, ако је ваша веза заштићена лозинком и користи 2ФА, много је мање вероватно да ћете бити циљани.

Поред тога, увек би требало да ажурирате оперативне системе и антивирусне програме својих уређаја. Ажурирања софтвера могу бити дуготрајна и фрустрирајућа, али постоји разлог зашто постоје. Таква ажурирања често долазе са исправкама грешака и додатним безбедносним функцијама како би ваши уређаји и подаци били заштићени, тако да не пропустите прилику да ажурирате своје уређаје.

Још једна важна мера коју треба предузети да не бисте избегли нападе рансомвера, већ њихове последице, јесте прављење резервних копија датотека. Понекад ће нападачи рансомваре-а ускратити кључне информације које су вам потребне из различитих разлога, тако да резервна копија у одређеној мери ублажава обим штете. Офлајн копије, попут оних ускладиштених на УСБ стику, могу бити од непроцењиве вредности када се подаци украду или избришу са вашег уређаја.

Мере након инфекције

Иако вас горњи предлози могу заштитити од ЛоцкБит рансомваре-а, и даље постоји шанса за инфекцију. Дакле, ако откријете да је ваш рачунар заражен ЛоцкБит-ом 3.0, важно је да се не понашате ирационално. Постоје кораци које можете предузети уклоните рансомваре са свог уређаја, које треба пажљиво и пажљиво пратити.

Такође би требало да обавестите власти ако сте постали жртва напада рансомвера. Ово помаже релевантним странама да боље разумеју и позабаве се датом врстом рансомвера.

ЛоцкБит 3.0 напади се могу наставити

Нико не зна колико ће још пута ЛоцкБит 3.0 рансомваре бити коришћен за претње и искоришћавање жртава. Због тога је кључно да заштитите своје уређаје и налоге на сваки могући начин, тако да ваши осетљиви подаци остану безбедни.