LockBit-ransomware er en skadelig software, der er designet til at blokere brugeradgangen til computersystemer mod betaling af løsepenge. LockBit vil automatisk undersøge værdifulde mål, sprede infektionen og kryptere alle tilgængelige computersystemer på et netværk. Denne ransomware bruges til meget målrettede angreb mod virksomheder og andre organisationer. Som et selvstyret cyberangreb har LockBit-angriberne gjort sig bemærkede ved at true virksomheder globalt med nogle af følgende trusler:
LockBit er et nyt ransomware-angreb i en lang række af cyberangreb med afpresning som sit formål. Det er tidligere kendt som "ABCD"-ransomware og har siden udviklet sig til en unik trussel inden for rammerne af disse afpresningsværktøjer. LockBit er en underklasse af ransomware kendt som "kryptovirus", fordi kravene om løsepenge er centreret omkring økonomisk betaling til gengæld for dekryptering. Denne ransomware fokuserer mest på virksomheder og offentlige organisationer frem for enkeltpersoner.
Angreb med LockBit begyndte i september 2019, hvor de blev benævnt "ABCD-virus". Kaldenavnet refererer til filtypen .abcd, der blev brugt ved kryptering af offerets filer. Tidligere mål omfatter virksomheder i USA, Kina, Indien, Indonesien, Ukraine. Derudover har forskellige lande i hele Europa (Frankrig, Storbritannien, Tyskland) oplevet angreb.
De oplagte mål er virksomheder, der vil føle sig tilstrækkeligt begrænset af afbrydelsen til at betale et stort beløb, og som har midlerne til at gøre det. Dette kan derfor resultere i omfattende angreb på store virksomheder inden for f.eks. sundhedspleje eller finans. Angrebene synes med vilje at undgå at angribe systemer, der befinder sig i Rusland eller de tidligere sovjetiske lande. Formentlig er det for at undgå retsforfølgelse i disse lande.
LockBit fungerer som ransomware-as-a-service (RaaS). De interesserede parter betaler et depositum for at gøre brug af skræddersyede "leasede" angreb og modtager fortjeneste i henhold til en affiliate-aftale. Løsepengene fordeles mellem LockBit-udviklerholdet og de angribende affilierede parter, der modtager op til ¾ af løsesummen.
LockBit-ransomware anses af mange myndigheder for at være en del af "LockerGoga & MegaCortex"-malwareserien. Det betyder blot, at ransomwarens adfærd ligner disse etablerede former for målrettet ransomware. Her kommer en hurtig forklaring af, hvad disse angreb er:
Det mest fremtrædende træk er malwarens evne til selvstændig udbredelse, hvilket betyder, at den spreder sig alene. I sin programmering styres LockBit af foruddesignede automatiserede processer. Dette adskiller den fra mange andre ransomware-angreb, hvor hackeren befinder sig manuelt i netværket – nogle gange i mange uger – for at udføre rekognoscering og overvågning.
Når angriberen manuelt har inficeret en enkelt vært, kan han eller hun finde andre tilgængelige værter, forbinde dem til inficerede værter og dele infektionen ved hjælp af et script. Dette afsluttes og gentages helt uden menneskelig indgriben.
Desuden bruger det værktøjer i mønstre, der er hjemmehørende i næsten alle Windows-computersystemer. Slutpunktsikkerhedssystemer har derfor svært ved at registrere den skadelige aktivitet. Ransomwaren skjuler også den eksekverbare krypteringsfil ved at give den form som det almindelige PNG-billedfilformat, hvilket yderligere snyder systemets forsvar.
LockBit-angreb kan i store træk deles op i tre faser:
Fase 1: Udnyt svaghederne i et netværk. Det oprindelige indbrud ligner som udgangspunkt andre skadelige angreb. En organisation kan udnyttes ved hjælp af en social engineering-taktik såsom phishing, hvor angribere udgiver sig for at være betroet personale eller myndigheder for at anmode om adgangsoplysninger. Lige så udbredt er brugen af brute force-angreb på en organisations intranetservere og netværkssystemer. Hvis virksomheden ikke har den korrekte netværkskonfiguration, kan angrebssonder fuldføre et sådant angreb inden for et par dage.
Når LockBit har fået adgang til et netværk, forbereder ransomwaren systemet til at frigive dets krypteringsnyttelast på tværs af alle de enheder, hvor det kan lade sig gøre. En hacker kan dog være nødt til at sikre sig, at nogle få yderligere trin er udført, før han eller hun kan foretage sit endelige træk.
Fase 2: Infiltrer dybere for at fuldføre opsætningen af angreb, hvis det er nødvendigt. Fra dette tidspunkt dirigerer LockBit-programmet al aktivitet uafhængigt af systemet. Det er programmeret til at bruge det, der kaldes "efterudnyttelsesværktøjer" til at opnå eskalerede rettigheder og dermed skabe et angrebsklart adgangsniveau. Programmet undersøger også adgange, som allerede er tilgængelige, ved at skifte fra system til system for at finde passende angrebspunkter.
Det er med andre ord her, LockBit udfører forberedelseshandlinger, før ransomwarens krypteringsdel installeres. Dette omfatter deaktivering af sikkerhedsprogrammer og enhver anden infrastruktur, der kan tillade systemgendannelse.
Målet med infiltration er at gøre uassisteret genoprettelse umulig eller tidskrævende nok til, at den eneste praktisk mulige løsning er at give efter for angriberens krav om løsesum. Når offeret er desperat efter at genoprette virksomhedens drift, så betaler han løsepengene.
Fase 3: Implementer krypteringsnyttelasten. Når netværket er forberedt på, at LockBit kan mobiliseres fuldt ud, vil ransomwaren begynde udbredelsen på tværs af enhver maskine, den kan komme i nærheden af. Som tidligere nævnt behøver LockBit ikke ret mange ressourcer for at fuldføre denne fase. En enkelt systemenhed med højt adgangsniveau kan udstede kommandoer til andre netværksenheder om at downloade LockBit-ransomwaren og køre den.
Krypteringsdelen vil derefter sætte en "lås" på alle systemfiler. Ofrene kan kun låse deres systemer op via en brugerdefineret nøgle, der er oprettet af LockBits eget dekrypteringsværktøj. Processen efterlader også kopier af en simpel tekstfil om løsepenge i hver systemmappe. Tekstfilen indeholder instruktioner til offeret, om hvad han eller hun skal gøre for at gendanne systemet, og i nogle LockBit-versioner inkluderer tekstfilen endda truende afpresning.
Når alle disse faser er fuldført, er de næste trin overladt til offeret. De kan nu vælge at kontakte LockBits supportdesk og betale løsesummen. Men det anbefales ikke at efterleve dette krav. Ofrene har ingen garanti for, at angriberne vil leve op til deres del af aftalen.
Som det var tilfældet med det seneste ransomware-angreb, kan LockBit-truslen udgøre et væsentligt problem. Vi kan ikke udelukke muligheden for, at malwaren i fremtiden vil angribe på tværs af mange brancher og virksomheder, især med den nylige stigning inden for fjernarbejde. Men hvis du kan spotte LockBits varianter, kan det hjælpe til at identificere præcis, hvad du har med at gøre.
LockBits oprindelige version omdøber filendelser til ".abcd". Derudover indeholder den en løsepengeseddel med krav og instruktioner i filen "Restore-My-Files.txt", som er blevet indsat i alle mapper.
Den anden kendte version af denne ransomware bruger filnavnet ".LockBit", hvilket har medført det nuværende kaldenavn. Men denne version er i det store hele identisk med den gamle .abcd-version med undtagelse af nogle revisioner i backend.
2.0-versionen af LockBit kræver ikke længere download af Tor-browseren i dens instruktioner til løsepenge. I stedet sender den ofrene til et andet websted via traditionel internetadgang.
For nylig er LockBit blevet optimeret med mere skadelige funktioner såsom at negere administrative rettighedskontrolpunkter. LockBit deaktiverer nu de sikkerhedsmeddelelser, som brugerne får vist, når et program forsøger at køre som administrator.
Desuden er malwaren nu konfigureret til at stjæle kopier af serverdata og indeholder desuden yderligere afpresningslinjer i løsepengenoten. Hvis offeret ikke følger instrukserne, truer LockBit nu med at offentliggøre offerets private data.
Hvis din virksomhed allerede er inficeret, får du ikke adgangen til dine filer tilbage blot ved at fjerne LockBit-ransomwaren. Du har stadig brug for et værktøj til at gendanne dit system, da krypteringen kræver en "nøgle", før du kan låse den op. Alternativt kan du muligvis gendanne dine systemer med en genafbildning, hvis du i forvejen har oprettet sikkerhedskopier af systemafbildningen, før infektionen skete.
I sidste ende skal du iværksætte en række beskyttelsesforanstaltninger for at sikre, at din virksomhed er modstandsdygtig over for ransomware eller skadelige angreb fra kilden. Her er et par fremgangsmåder, der kan hjælpe dig med forberedelsen:
Relaterede artikler: