גניבות, סחיטה, סחיטה והתחזות נפוצים ברשת, כאשר אלפי אנשים נופלים קורבן להונאות והתקפות שונות מדי חודש. מצב התקפה אחד כזה משתמש בסוג של תוכנת כופר הידועה בשם LockBit 3.0. אז מאיפה הגיעה תוכנת הכופר הזו, איך משתמשים בה ומה אתה יכול לעשות כדי להגן על עצמך?

מאיפה הגיע LockBit 3.0?

LockBit 3.0 (ידוע גם בשם LockBit Black) הוא זן של תוכנות כופר הנגזרות ממשפחת תוכנות הכופר של LockBit. מדובר בקבוצה של תוכנות כופר שהתגלו לראשונה בספטמבר 2019, לאחר שהגל הראשון של התקפות התרחש. בתחילה, LockBit כונה "וירוס abcd", אך בשלב זה לא היה ידוע כי היוצרים והמשתמשים של LockBit ימשיכו ליצור איטרציות חדשות של תוכנת הכופר המקורית תכנית.

משפחת תוכנות הכופר של LockBit מתפשטת מעצמה, אבל רק קורבנות מסוימים ממוקדים - בעיקר אלו שיש להם את היכולת לשלם כופר גדול. אלה המשתמשים בתוכנת כופר של LockBit רוכשים לעתים קרובות גישה ל-Remote Desktop Protocol (RDP) ברשת האפלה כדי שיוכלו לגשת למכשירים של הקורבנות מרחוק ובקלות רבה יותר.

המפעילים של LockBit פנו לארגונים ברחבי העולם מאז השימוש הראשון בו, כולל בריטניה, ארה"ב, אוקראינה וצרפת. משפחה זו של תוכניות זדוניות משתמשת ב-

instagram viewer
תוכנת כופר כשירות (RaaS) מודל, שבו משתמשים יכולים לשלם למפעילים כדי לקבל גישה לסוג נתון של תוכנות כופר. לעתים קרובות זה כרוך בסוג כלשהו של מנוי. לפעמים, משתמשים יכולים אפילו לבדוק נתונים סטטיסטיים כדי לראות אם השימוש שלהם בתוכנת כופר של LockBit הצליח.

רק בשנת 2021 הפכה LockBit לסוג נפוץ של תוכנות כופר, באמצעות LockBit 2.0 (קודמת הזן הנוכחי). בשלב זה, הכנופיות שהשתמשו בתוכנת הכופר הזו החליטו לעשות זאת לאמץ את מודל הסחיטה הכפולה. זה כולל גם הצפנה וגם סינון (או העברה) של קבצים של קורבן למכשיר אחר. שיטת ההתקפה הנוספת הזו הופכת את המצב כולו למפחיד עוד יותר עבור האדם או הארגון הממוקדים.

הסוג האחרון של תוכנת כופר של LockBit זוהה בתור LockBit 3.0. אז איך LockBit 3.0 עובד ואיך משתמשים בו היום?

מה זה LockBit 3.0?

בסוף אביב 2022, התגלתה איטרציה חדשה של קבוצת תוכנות הכופר של LockBit: LockBit 3.0. כתוכנת כופר, LockBit 3.0 יכולה להצפין ולחלץ את כל הקבצים במכשיר נגוע, מה שמאפשר לתוקף להחזיק את נתוני הקורבן כבני ערובה ככל הנראה עד שהכופר המבוקש שולם. תוכנת הכופר הזו פעילה כעת בטבע, ומעוררת דאגה רבה.

התהליך של מתקפת LockBit 3.0 טיפוסית הוא:

  1. LockBit 3.0 מדביק מכשיר של קורבן, מצפין קבצים ומוסיף את הסיומת של קבצים מוצפנים בתור "HLjkNskOq".
  2. לאחר מכן נדרש מפתח ארגומנט שורת פקודה המכונה "-pass" לביצוע ההצפנה.
  3. LockBit 3.0 יוצר שרשורים שונים לביצוע משימות מרובות בו זמנית, כך שניתן להשלים את הצפנת הנתונים בפחות זמן.
  4. LockBit 3.0 מוחק שירותים או תכונות מסוימות כדי להפוך את תהליך ההצפנה וההסתננות להרבה יותר קל.
  5. ממשק API משמש לגישה למסד הנתונים של מנהל בקרת שירות.
  6. טפט שולחן העבודה של הקורבן משתנה כך שהם יודעים שהם מותקפים.

אם הכופר לא ישולם על ידי הקורבן בחלון הזמן הנדרש, תוקפי LockBit 3.0 ימכרו את הנתונים שגנבו ברשת האפלה לפושעי סייבר אחרים. זה יכול להיות קטסטרופלי גם לקורבן בודד וגם לארגון.

בזמן הכתיבה, LockBit 3.0 בולט ביותר עבורו ניצול של Windows Defender כדי לפרוס את Cobalt Strike, כלי לבדיקת חדירה שיכול להוריד עומסים. תוכנה זו יכולה גם לגרום לשרשרת של זיהומים בתוכנה זדונית במספר מכשירים.

בתהליך זה, כלי שורת הפקודה MpCmdRun.exe מנוצל כך שהתוקף יוכל לפענח ולהפעיל את המשואות. זה נעשה על ידי הטעיית המערכת לתעדף ולטעון DLL זדוני (ספריית קישורים דינמיים).

קובץ ההפעלה MpCmdRun.exe משמש את Windows Defender לסריקה לאיתור תוכנות זדוניות, ובכך מגן על המכשיר מפני קבצים ותוכניות מזיקים. בהתחשב בכך ש-Cobalt Strike יכול לעקוף את אמצעי האבטחה של Windows Defender, הוא הפך להיות שימושי מאוד עבור תוקפי תוכנות כופר.

טכניקה זו ידועה גם בשם טעינת צד, ומאפשרת לצדדים זדוניים לאגור או לגנוב נתונים ממכשירים נגועים.

כיצד להימנע מ- LockBit 3.0 Ransomware

LockBit 3.0 הוא דאגה גוברת, במיוחד בקרב ארגונים גדולים יותר שיש להם ערימות של נתונים שניתן להצפין ולהוציא אותם. חשוב לוודא שאתה מתרחק מהתקפה מהסוג המסוכן הזה.

כדי לעשות זאת, תחילה עליך לוודא שאתה משתמש בסיסמאות חזקות במיוחד ובאימות דו-גורמי בכל החשבונות שלך. שכבת אבטחה נוספת זו יכולה להקשות בהרבה על פושעי סייבר לתקוף אותך באמצעות תוכנות כופר. לשקול התקפות כופר של פרוטוקול שולחן עבודה מרוחק, לדוגמה. בתרחיש כזה, התוקף יסרוק את האינטרנט לאיתור חיבורי RDP פגיעים. לכן, אם החיבור שלך מוגן בסיסמה ומשתמש ב-2FA, יש סיכוי נמוך יותר שיתמקדו בו.

בנוסף, עליך לעדכן תמיד את מערכות ההפעלה ותוכניות האנטי-וירוס של המכשירים שלך. עדכוני תוכנה יכולים להיות גוזלים זמן ומתסכלים, אבל יש סיבה שהם קיימים. עדכונים כאלה מגיעים לרוב עם תיקוני באגים ותכונות אבטחה נוספות כדי לשמור על הגנה על המכשירים והנתונים שלך, אז אל תוותרי על ההזדמנות לעדכן את המכשירים שלך.

אמצעי חשוב נוסף שיש לנקוט כדי לא להימנע מהתקפות כופר, אלא מהשלכותיהן, הוא גיבוי קבצים. לפעמים, תוקפי תוכנות כופר ימנעו מידע חיוני שאתה צריך מסיבות שונות, כך שגיבוי מפחית את מידת הנזק במידה מסוימת. עותקים לא מקוונים, כגון אלה המאוחסנים במקל USB, יכולים להיות יקרי ערך כאשר נתונים נגנבים או נמחקים מהמכשיר שלך.

אמצעים לאחר זיהום

בעוד שההצעות לעיל יכולות להגן עליך מפני תוכנת כופר של LockBit, עדיין יש סיכוי להידבקות. לכן, אם אתה מגלה שהמחשב שלך נדבק ב-LockBit 3.0, חשוב לא לפעול בצורה לא הגיונית. יש צעדים שאתה יכול לנקוט אליהם להסיר תוכנת כופר מהמכשיר שלך, שכדאי לעקוב אחריהם מקרוב ובזהירות.

כדאי גם להזהיר את הרשויות אם נפלתם קורבן להתקפת תוכנת כופר. זה עוזר לגורמים הרלוונטיים להבין טוב יותר ולהתמודד עם זן נתון של תוכנות כופר.

התקפות LockBit 3.0 עשויות להימשך

אף אחד לא יודע כמה פעמים עוד ישמש תוכנת כופר LockBit 3.0 כדי לאיים ולנצל קורבנות. זו הסיבה שחשוב להגן על המכשירים והחשבונות שלך בכל דרך אפשרית, כדי שהנתונים הרגישים שלך יישארו בטוחים.