אם אתה מתעדכן באיומי אבטחת סייבר, אתה כנראה מודע לכמה תוכנות כופר הפכו לפופולריות בצורה מסוכנת. סוג זה של תוכנות זדוניות מהווה איום עצום על אנשים וארגונים כאחד, כאשר זנים מסוימים הופכים כעת לבחירה המובילה עבור שחקנים זדוניים, כולל LockBit.

אז מה זה LockBit, מאיפה זה הגיע ואיך אתה יכול להגן על עצמך מפני זה?

מהי LockBit Ransomware?

אמנם LockBit התחיל כזן יחיד של תוכנות כופר, אך מאז היא התפתחה מספר פעמים, כאשר הגרסה האחרונה ידועה בשם "LockBit 3.0" (עליה נדון מעט מאוחר יותר). LockBit משתרעת על פני משפחה של תוכנות כופר, הפועלות באמצעות תוכנת כופר כשירות (RaaS) דֶגֶם.

תוכנת כופר כשירות היא מודל עסקי הכולל שמשתמשים משלמים עבור גישה לסוג נתון של תוכנות כופר כדי שיוכלו להשתמש בה עבור התקפות משלהם. באמצעות זה, המשתמשים הופכים לשותפים, והתשלום שלהם יכול להיות כרוך בתשלום קבוע או בשירות מבוסס מנוי. בקיצור, היוצרים של LockBit מצאו דרך להרוויח עוד יותר מהשימוש בו על ידי שימוש במודל ה-RaaS הזה, ואף יכולים לקבל קיצוץ מהכופר ששולם על ידי הקורבנות.

ניתן לגשת למספר תוכנות כופר אחרות דרך מודל RaaS, כולל DarkSide ו-REvil. לצד אלה, LockBit הוא אחד מסוגי תוכנות הכופר הפופולריות ביותר בשימוש כיום.

instagram viewer

בהתחשב בכך שלוקביט היא משפחת תוכנות כופר, השימוש בה כרוך בהצפנה של קבצי יעד. פושעי סייבר יסתננו למכשיר של קורבן בדרך זו או אחרת, אולי באמצעות דוא"ל פישינג או זדוני קובץ מצורף, ולאחר מכן ישתמש ב-LockBit כדי להצפין את כל הקבצים במכשיר כך שהם לא יהיו נגישים ל- מִשׁתַמֵשׁ.

לאחר שהקבצים של הקורבן הוצפנו, התוקף ידרוש כופר תמורת מפתח הפענוח. אם הקורבן לא יציית וישלם את הכופר, סביר להניח שהתוקף ימכור את הנתונים ברשת האפלה למטרות רווח. תלוי מה הנתונים, הדבר עלול לגרום לנזק בלתי הפיך לפרטיות של אדם או ארגון, מה שיכול להוסיף ללחץ של תשלום הכופר.

אבל מאיפה הגיעה תוכנת הכופר המסוכנת ביותר הזו?

המקורות של LockBit Ransomware

לא ידוע בדיוק מתי פותחה LockBit, אך ההיסטוריה המוכרת שלו נמשכת עד 2019, כאשר הוא נמצא לראשונה. גילוי זה הגיע לאחר גל ההתקפות הראשון של LockBit, כאשר תוכנת הכופר הוטבעה בתחילה "ABCD" בהתייחס לשם הסיומת של הקבצים המוצפנים שניצלו במהלך התקפות. אבל כשהתוקפים החלו להשתמש במקום זאת בסיומת הקובץ ".lockbit", שם תוכנת הכופר השתנה למה שהוא היום.

הפופולריות של LockBit עלתה לאחר פיתוח האיטרציה השנייה שלה, LockBit 2.0. בסוף 2021 נעשה שימוש הולך וגובר ב- LockBit 2.0 על ידי שותפים להתקפות, ועם השבתת כנופיות אחרות של תוכנות כופר, LockBit הצליחה לנצל את הפער ב- שׁוּק.

למעשה, השימוש המוגבר ב-LockBit 2.0 חיזק את מעמדה כ"המשפיע והנפוץ ביותר גרסה של תוכנת כופר שצפינו בכל הפרות של תוכנות כופר במהלך הרבעון הראשון של 2022", על פי א דו"ח פאלו אלטו. נוסף על כך, פאלו אלטו ציינה באותו דוח כי המפעילים של LockBit טוענים שיש להם את תוכנת ההצפנה המהירה ביותר מכל תוכנת כופר פעילה כיום.

תוכנת כופר LockBit נצפתה במספר מדינות ברחבי העולם, כולל סין, ארה"ב, צרפת, אוקראינה, בריטניה והודו. מספר ארגונים גדולים היו גם ממוקדים באמצעות LockBit, כולל Accenture, חברת שירותים מקצועיים אירית-אמריקאית.

Accenture סבלה מפרצת נתונים כתוצאה מהשימוש ב-LockBit ב-2021, כשהתוקפים דרשו כופר ענק של 50 מיליון דולר, כאשר יותר מ-6TB של נתונים מוצפנים. Accenture לא הסכימה לשלם את הכופר הזה, למרות שהחברה טענה שאף לקוחות לא הושפעו מהתקיפה.

LockBit 3.0 והסיכונים שלו

ככל שהפופולריות של LockBit עולה, כל איטרציה חדשה היא דאגה רצינית. הגרסה האחרונה של LockBit, הידועה בשם LockBit 3.0, כבר הפכה לבעיה, במיוחד בתוך מערכות ההפעלה של Windows.

בקיץ 2022, LockBit 3.0 היה משמש לטעינת מטענים מזיקים של Cobalt Strike במכשירים ממוקדים באמצעות ניצול של Windows Defender. בגל התקפות זה, נעשה שימוש לרעה בקובץ שורת פקודה הניתן להפעלה המכונה MpCmdRun.exe, כך שמשואות ה-Cobalt Strike יוכלו לעקוף את זיהוי האבטחה.

LockBit 3.0 שימש גם בניצול שורת פקודה של VMWare הידועה בשם VMwareXferlogs.exe כדי לפרוס שוב מטענים של Cobalt Strike. לא ידוע אם ההתקפות הללו יימשכו, או יתפתחו למשהו אחר לגמרי.

ברור שתוכנת כופר של LockBit היא סיכון גבוה, כפי שקורה להרבה תוכנות כופר. אז איך אתה יכול לשמור על עצמך?

כיצד להגן על עצמך מפני LockBit Ransomware

בהתחשב בכך שתחילה תוכנת כופר LockBit חייבת להיות נוכחת במכשיר שלך כדי להצפין קבצים, עליך לנסות ולנתק אותה במקור ולמנוע הדבקה לחלוטין. למרות שקשה להבטיח את ההגנה שלך מפני תוכנות כופר, יש הרבה שאתה יכול לעשות כדי להתרחק ככל האפשר.

ראשית, חיוני שלעולם לא תוריד קבצים או תוכנות מאתרים שאינם לגיטימיים לחלוטין. הורדת כל סוג של קובץ לא מאומת למכשיר שלך יכולה לתת לתוקף תוכנת כופר גישה קלה לקבצים שלך. ודא שאתה משתמש רק באתרים מהימנים ונבדקים היטב להורדות שלך, או בחנויות אפליקציות רשמיות להתקנת תוכנה.

גורם נוסף שיש לציין הוא שלעתים קרובות יש תוכנת כופר של LockBit התפשטות באמצעות פרוטוקול שולחן עבודה מרוחק (RDP). אם אינך משתמש בטכנולוגיה זו, אינך צריך לדאוג לגבי המצביע הזה. עם זאת, אם כן, חשוב שתאבטח את רשת ה-RDP שלך באמצעות הגנת סיסמה, VPNs וביטול הפעלת הפרוטוקול כאשר הוא אינו בשימוש ישיר. מפעילי תוכנות כופר לעתים קרובות סורקים את האינטרנט לאיתור חיבורי RDP פגיעים, כך שהוספת שכבות נוספות של הגנה תהפוך את רשת RDP שלך לפחות רגיש להתקפות.

ניתן להפיץ תוכנות כופר גם באמצעות דיוג, מצב פופולרי להפליא של זיהום וגניבת נתונים המשמשים שחקנים זדוניים. פישינג נפרס לרוב באמצעות מיילים, שבהם התוקף יצרף קישור זדוני לגוף האימייל שהוא ישכנע את הקורבן ללחוץ עליו. קישור זה יוביל לאתר זדוני שיכול להקל על הדבקה בתוכנה זדונית.

הימנעות מדיוג יכולה להיעשות במספר דרכים, כולל שימוש בתכונות דואר אלקטרוני נגד ספאם, אתרי אינטרנט לבדיקת קישוריםותוכנת אנטי וירוס. עליך גם לאמת את כתובת השולח של כל דוא"ל חדש ולסרוק אחר שגיאות הקלדה בהודעות דוא"ל (כיוון שהודעות דוא"ל הונאה עמוסות לעתים קרובות בשגיאות כתיב ודקדוק).

LockBit ממשיך להיות איום עולמי

LockBit ממשיכה להתפתח ולכוון לעוד ועוד קורבנות: תוכנת הכופר הזו לא הולכת לשום מקום בזמן הקרוב. כדי לשמור על עצמך מפני LockBit ותוכנות כופר בכלל, שקול כמה מהטיפים שלמעלה. למרות שאתה עשוי לחשוב שלעולם לא תהפוך למטרה, זה תמיד חכם לנקוט באמצעי הזהירות הדרושים בכל מקרה.