Als u op de hoogte blijft van cyberbeveiligingsbedreigingen, weet u waarschijnlijk hoe gevaarlijk populair ransomware is geworden. Dit soort malware vormt een enorme bedreiging voor zowel individuen als organisaties, waarbij bepaalde soorten nu een topkeuze worden voor kwaadwillende actoren, waaronder LockBit.
Dus, wat is LockBit, waar komt het vandaan en hoe kun je jezelf ertegen beschermen?
Wat is LockBit-ransomware?
Hoewel LockBit begon als een enkele vorm van ransomware, is het sindsdien meerdere keren geëvolueerd, waarbij de nieuwste versie bekend staat als "LockBit 3.0" (wat we later zullen bespreken). LockBit omvat een familie van ransomware-programma's, die werken met de Ransomware-as-a-Service (RaaS) model.
Ransomware-as-a-Service is een bedrijfsmodel waarbij gebruikers betalen voor toegang tot een bepaald soort ransomware, zodat ze het voor hun eigen aanvallen kunnen gebruiken. Hierdoor worden de gebruikers gelieerde ondernemingen en kan hun betaling een vast bedrag of een op abonnementen gebaseerde service omvatten. Kortom, de makers van LockBit hebben een manier gevonden om nog meer van het gebruik ervan te profiteren door dit RaaS-model te gebruiken, en kunnen zelfs een deel van het losgeld ontvangen dat door slachtoffers wordt uitbetaald.
Een aantal andere ransomware-programma's zijn toegankelijk via het RaaS-model, waaronder DarkSide en REvil. Daarnaast is LockBit een van de meest populaire ransomware-typen die tegenwoordig worden gebruikt.
Aangezien LockBit een ransomware-familie is, omvat het gebruik ervan de codering van de bestanden van een doelwit. Cybercriminelen zullen op de een of andere manier infiltreren in het apparaat van een slachtoffer, bijvoorbeeld via een phishing-e-mail of kwaadwillende bijlage, en zal vervolgens LockBit gebruiken om alle bestanden op het apparaat te versleutelen zodat ze ontoegankelijk zijn voor de gebruiker.
Zodra de bestanden van het slachtoffer zijn versleuteld, zal de aanvaller losgeld eisen in ruil voor de decoderingssleutel. Als het slachtoffer niet voldoet en het losgeld betaalt, is de kans groot dat de aanvaller de gegevens vervolgens met winst op het dark web verkoopt. Afhankelijk van wat de gegevens zijn, kan dit onomkeerbare schade toebrengen aan de privacy van een persoon of organisatie, wat de druk kan vergroten om het losgeld te betalen.
Maar waar kwam deze zeer gevaarlijke ransomware vandaan?
De oorsprong van LockBit Ransomware
Het is niet precies bekend wanneer LockBit is ontwikkeld, maar de erkende geschiedenis gaat terug tot 2019, toen het voor het eerst werd gevonden. Deze ontdekking kwam na LockBit's eerste golf van aanvallen, toen de ransomware aanvankelijk "ABCD" werd genoemd in verwijzing naar de extensienaam van de versleutelde bestanden die tijdens aanvallen werden uitgebuit. Maar toen de aanvallers in plaats daarvan de bestandsextensie ".lockbit" begonnen te gebruiken, veranderde de naam van de ransomware in wat het nu is.
LockBit's populariteit steeg na de ontwikkeling van zijn tweede iteratie, LockBit 2.0. Eind 2021 werd LockBit 2.0 steeds meer gebruikt door filialen voor aanvallen, en bij het afsluiten van andere ransomware-bendes, kon LockBit profiteren van het gat in de markt.
Het toegenomen gebruik van LockBit 2.0 heeft zijn positie als "de meest impactvolle en meest gebruikte" zelfs verstevigd ransomware-variant die we hebben waargenomen bij alle ransomware-inbreuken in het eerste kwartaal van 2022", aldus a Palo Alto rapport. Bovendien verklaarde Palo Alto in hetzelfde rapport dat de operators van LockBit beweren de snelste versleutelingssoftware te hebben van alle momenteel actieve ransomware.
LockBit ransomware is gespot in meerdere landen over de hele wereld, waaronder China, de VS, Frankrijk, Oekraïne, het VK en India. Een aantal grote organisaties is ook het doelwit geweest van LockBit, waaronder Accenture, een Iers-Amerikaans bedrijf voor professionele dienstverlening.
Accenture leed aan een datalek als gevolg van het gebruik van LockBit in 2021, waarbij de aanvallers een gigantisch losgeld van $ 50 miljoen eisten, waarbij meer dan 6 TB aan gegevens werd versleuteld. Accenture ging niet akkoord met het betalen van dit losgeld, hoewel het bedrijf beweerde dat er geen klanten waren getroffen door de aanval.
LockBit 3.0 en zijn risico's
Naarmate de populariteit van LockBit toeneemt, is elke nieuwe iteratie een serieuze zorg. De nieuwste versie van LockBit, bekend als LockBit 3.0, is al een probleem geworden, met name binnen Windows-besturingssystemen.
In de zomer van 2022 was LockBit 3.0 gebruikt om schadelijke Cobalt Strike-ladingen te laden op gerichte apparaten door de exploitatie van Windows Defender. In deze golf van aanvallen werd misbruik gemaakt van een uitvoerbaar opdrachtregelbestand dat bekend staat als MpCmdRun.exe, zodat de Cobalt Strike-bakens de beveiligingsdetectie kunnen omzeilen.
LockBit 3.0 is ook gebruikt bij de exploitatie van een VMWare-opdrachtregel die bekend staat als VMwareXferlogs.exe om opnieuw Cobalt Strike-payloads te implementeren. Het is niet bekend of deze aanvallen zullen doorgaan of evolueren naar iets heel anders.
Het is duidelijk dat LockBit-ransomware een hoog risico inhoudt, zoals het geval is voor veel ransomware-programma's. Dus, hoe kun je jezelf veilig houden?
Hoe u uzelf kunt beschermen tegen LockBit Ransomware
Aangezien LockBit ransomware eerst op uw apparaat aanwezig moet zijn om bestanden te versleutelen, moet u proberen het bij de bron af te sluiten en infectie helemaal te voorkomen. Hoewel het moeilijk is om uw bescherming tegen ransomware te garanderen, is er veel dat u kunt doen om zoveel mogelijk te voorkomen.
Ten eerste is het essentieel dat u nooit bestanden of softwareprogramma's downloadt van sites die niet volledig legitiem zijn. Door elk soort niet-geverifieerd bestand naar uw apparaat te downloaden, kan een ransomware-aanvaller gemakkelijk toegang krijgen tot uw bestanden. Zorg ervoor dat u alleen vertrouwde en goed beoordeelde sites gebruikt voor uw downloads, of officiële app stores voor software-installatie.
Een andere factor om op te merken is dat LockBit ransomware vaak verspreiding via Remote Desktop Protocol (RDP). Als u deze technologie niet gebruikt, hoeft u zich geen zorgen te maken over deze aanwijzer. Als u dat wel doet, is het echter belangrijk dat u uw RDP-netwerk beveiligt met wachtwoordbeveiliging, VPN's en het protocol deactiveert wanneer het niet direct in gebruik is. Ransomware-operators scannen vaak het internet op kwetsbare RDP-verbindingen, dus als u extra beschermingslagen toevoegt, wordt uw RDP-netwerk minder vatbaar voor aanvallen.
Ransomware kan ook worden verspreid via phishing, een ongelooflijk populaire manier van infectie en gegevensdiefstal die wordt gebruikt door kwaadwillende actoren. Phishing wordt meestal ingezet via e-mails, waarbij de aanvaller een kwaadaardige link aan de e-mail toevoegt, zodat hij het slachtoffer kan overtuigen om op te klikken. Deze link leidt naar een kwaadaardige website die malware-infectie kan vergemakkelijken.
Phishing voorkomen kan op een aantal manieren, waaronder het gebruik van anti-spam e-mailfuncties, websites voor het controleren van linksen antivirussoftware. U moet ook het afzenderadres van elke nieuwe e-mail controleren en scannen op typefouten in e-mails (aangezien scam-e-mails vaak vol staan met spel- en grammaticale fouten).
LockBit blijft een wereldwijde bedreiging
LockBit blijft zich ontwikkelen en richt zich op steeds meer slachtoffers: deze ransomware gaat voorlopig nergens heen. Overweeg enkele van de bovenstaande tips om uzelf te beschermen tegen LockBit en ransomware in het algemeen. Hoewel je misschien denkt dat je nooit een doelwit zult worden, is het toch altijd verstandig om de nodige voorzorgsmaatregelen te nemen.
