Diefstal, afpersing, chantage en nabootsing van identiteit zijn wijdverbreid online, waarbij elke maand duizenden mensen het slachtoffer worden van verschillende vormen van oplichting en aanvallen. Een dergelijke aanvalsmethode maakt gebruik van een soort ransomware die bekend staat als LockBit 3.0. Dus, waar komt deze ransomware vandaan, hoe wordt het gebruikt en wat kun je doen om jezelf te beschermen?

Waar kwam LockBit 3.0 vandaan?

LockBit 3.0 (ook bekend als LockBit Black) is een vorm van ransomware die voortkomt uit de LockBit-ransomwarefamilie. Dit is een groep ransomware-programma's die voor het eerst werd ontdekt in september 2019, nadat de eerste golf van aanvallen had plaatsgevonden. Aanvankelijk werd LockBit het ".abcd-virus" genoemd, maar op dat moment was niet bekend dat De makers en gebruikers van LockBit zouden nieuwe versies van de originele ransomware blijven maken programma.

LockBit's familie van ransomware-programma's verspreidt zichzelf, maar alleen bepaalde slachtoffers zijn het doelwit, voornamelijk degenen die in staat zijn om een ​​groot losgeld te betalen. Degenen die LockBit-ransomware gebruiken, kopen vaak Remote Desktop Protocol (RDP)-toegang op het dark web, zodat ze op afstand en gemakkelijker toegang hebben tot de apparaten van slachtoffers.

instagram viewer

De operators van LockBit richten zich sinds het eerste gebruik op organisaties over de hele wereld, waaronder het VK, de VS, Oekraïne en Frankrijk. Deze familie van kwaadaardige programma's gebruikt de Ransomware-as-a-Service (RaaS) model, waarbij gebruikers de operators kunnen betalen om toegang te krijgen tot een bepaald soort ransomware. Vaak gaat het om een ​​vorm van abonnement. Soms kunnen gebruikers zelfs statistieken controleren om te zien of hun gebruik van LockBit ransomware succesvol was.

Pas in 2021 werd LockBit een veelvoorkomende vorm van ransomware, via LockBit 2.0 (de voorganger van de huidige soort). Op dit punt besloten de bendes die deze ransomware gebruikten om: adopteer het dubbele afpersingsmodel;. Dit omvat zowel het versleutelen als het exfiltreren (of overbrengen) van de bestanden van een slachtoffer naar een ander apparaat. Deze extra aanvalsmethode maakt de hele situatie nog enger voor de persoon of organisatie die het doelwit is.

De meest recente vorm van LockBit-ransomware is geïdentificeerd als LockBit 3.0. Dus, hoe werkt LockBit 3.0 en hoe wordt het tegenwoordig gebruikt?

Wat is LockBit 3.0?

In het late voorjaar van 2022 werd een nieuwe versie van de LockBit ransomware-groep ontdekt: LockBit 3.0. Als een ransomware-programma kan LockBit 3.0 versleutelen en alle bestanden op een geïnfecteerd apparaat te exfiltreren, zodat de aanvaller de gegevens van het slachtoffer blijkbaar kan gijzelen totdat het gevraagde losgeld is ontvangen betaald. Deze ransomware is nu actief in het wild en baart veel zorgen.

Het proces van een typische LockBit 3.0-aanval is:

  1. LockBit 3.0 infecteert het apparaat van een slachtoffer, versleutelt bestanden en voegt de extensie van versleutelde bestanden toe als "HLjkNskOq".
  2. Een opdrachtregelargumentsleutel die bekend staat als "-pass" is dan vereist om de codering uit te voeren.
  3. LockBit 3.0 creëert verschillende threads om meerdere taken tegelijkertijd uit te voeren, zodat de gegevenscodering in minder tijd kan worden voltooid.
  4. LockBit 3.0 verwijdert bepaalde services of functies om het coderings- en exfiltratieproces veel gemakkelijker te maken.
  5. Een API wordt gebruikt om toegang tot de database van Service Control Manager te bieden.
  6. De bureaubladachtergrond van het slachtoffer is gewijzigd, zodat ze weten dat ze worden aangevallen.

Als het losgeld niet binnen de vereiste tijd door het slachtoffer wordt betaald, verkopen LockBit 3.0-aanvallers de gegevens die ze op het dark web hebben gestolen aan andere cybercriminelen. Dit kan catastrofaal zijn voor zowel een individueel slachtoffer als een organisatie.

Op het moment van schrijven valt LockBit 3.0 het meest op: misbruik maken van Windows Defender om Cobalt Strike te implementeren, een penetratietesttool die payloads kan laten vallen. Deze software kan ook een reeks malware-infecties op meerdere apparaten veroorzaken.

In dit proces wordt het opdrachtregelprogramma MpCmdRun.exe misbruikt zodat de aanvaller de bakens kan decoderen en starten. Dit wordt gedaan door het systeem te misleiden tot het prioriteren en laden van een kwaadaardige DLL (Dynamic-Link Library).

Het uitvoerbare bestand MpCmdRun.exe wordt door Windows Defender gebruikt om te scannen op malware, waardoor het apparaat wordt beschermd tegen schadelijke bestanden en programma's. Aangezien Cobalt Strike de beveiligingsmaatregelen van Windows Defender kan omzeilen, is het erg handig geworden voor ransomware-aanvallers.

Deze techniek staat ook bekend als side-loading en stelt kwaadwillenden in staat om gegevens van geïnfecteerde apparaten te herbergen of te stelen.

Hoe LockBit 3.0 Ransomware te vermijden

LockBit 3.0 baart steeds meer zorgen, vooral bij grotere organisaties die grote hoeveelheden gegevens hebben die kunnen worden versleuteld en geëxfiltreerd. het is belangrijk om ervoor te zorgen dat je uit de buurt blijft van dit gevaarlijke soort aanval.

Om dit te doen, moet je er eerst voor zorgen dat je supersterke wachtwoorden en tweefactorauthenticatie gebruikt voor al je accounts. Deze extra beveiligingslaag kan het voor cybercriminelen veel moeilijker maken om u aan te vallen met ransomware. Beschouwen Remote Desktop Protocol ransomware-aanvallen, bijvoorbeeld. In een dergelijk scenario scant de aanvaller het internet op kwetsbare RDP-verbindingen. Dus als uw verbinding met een wachtwoord is beveiligd en 2FA gebruikt, is de kans veel kleiner dat u het doelwit wordt.

Bovendien moet u de besturingssystemen en antivirusprogramma's van uw apparaten altijd up-to-date houden. Software-updates kunnen tijdrovend en frustrerend zijn, maar er is een reden waarom ze bestaan. Dergelijke updates worden vaak geleverd met bugfixes en extra beveiligingsfuncties om uw apparaten en gegevens te beschermen, dus laat de kans om uw apparaten up-to-date te houden niet voorbijgaan.

Een andere belangrijke maatregel die u moet nemen om ransomware-aanvallen, maar de gevolgen ervan, niet te vermijden, is het maken van back-ups van bestanden. Soms houden ransomware-aanvallers cruciale informatie achter die je om verschillende redenen nodig hebt, dus het hebben van een back-up verkleint de omvang van de schade tot op zekere hoogte. Offline-kopieën, zoals die op een USB-stick zijn opgeslagen, kunnen van onschatbare waarde zijn wanneer gegevens worden gestolen of van uw apparaat worden gewist.

Maatregelen na infectie

Hoewel de bovenstaande suggesties je kunnen beschermen tegen LockBit ransomware, is er nog steeds een kans op infectie. Dus als u merkt dat uw computer is geïnfecteerd door LockBit 3.0, is het belangrijk om niet irrationeel te handelen. Er zijn stappen die u kunt nemen om verwijder ransomware van uw apparaat, die u nauwlettend en zorgvuldig moet volgen.

U moet ook de autoriteiten waarschuwen als u het slachtoffer bent geworden van een ransomware-aanval. Dit helpt de relevante partijen om een ​​bepaalde vorm van ransomware beter te begrijpen en aan te pakken.

LockBit 3.0-aanvallen kunnen doorgaan

Niemand weet hoe vaak LockBit 3.0 ransomware nog zal worden gebruikt om slachtoffers te bedreigen en uit te buiten. Daarom is het van cruciaal belang om uw apparaten en accounts op alle mogelijke manieren te beschermen, zodat uw gevoelige gegevens veilig blijven.