LockBit-ransomware – Alt, hvad du skal vide

Definition af LockBit

LockBit-ransomware er en skadelig software, der er designet til at blokere brugeradgangen til computersystemer mod betaling af løsepenge. LockBit vil automatisk undersøge værdifulde mål, sprede infektionen og kryptere alle tilgængelige computersystemer på et netværk. Denne ransomware bruges til meget målrettede angreb mod virksomheder og andre organisationer. Som et selvstyret cyberangreb har LockBit-angriberne gjort sig bemærkede ved at true virksomheder globalt med nogle af følgende trusler:

• Driftsafbrydelse med væsentlige virksomhedsfunktioner, der pludselig standser.
• Afpresning for en økonomisk gevinst til hackeren.
• Tyveri af data og ulovlig offentliggørelse som afpresning, hvis offeret ikke følger kravene.

Hvad er LockBit-ransomware?

LockBit er et nyt ransomware-angreb i en lang række af cyberangreb med afpresning som sit formål. Det er tidligere kendt som "ABCD"-ransomware og har siden udviklet sig til en unik trussel inden for rammerne af disse afpresningsværktøjer. LockBit er en underklasse af ransomware kendt som "kryptovirus", fordi kravene om løsepenge er centreret omkring økonomisk betaling til gengæld for dekryptering. Denne ransomware fokuserer mest på virksomheder og offentlige organisationer frem for enkeltpersoner.

Angreb med LockBit begyndte i september 2019, hvor de blev benævnt "ABCD-virus". Kaldenavnet refererer til filtypen .abcd, der blev brugt ved kryptering af offerets filer. Tidligere mål omfatter virksomheder i USA, Kina, Indien, Indonesien, Ukraine. Derudover har forskellige lande i hele Europa (Frankrig, Storbritannien, Tyskland) oplevet angreb.

De oplagte mål er virksomheder, der vil føle sig tilstrækkeligt begrænset af afbrydelsen til at betale et stort beløb, og som har midlerne til at gøre det. Dette kan derfor resultere i omfattende angreb på store virksomheder inden for f.eks. sundhedspleje eller finans. Angrebene synes med vilje at undgå at angribe systemer, der befinder sig i Rusland eller de tidligere sovjetiske lande. Formentlig er det for at undgå retsforfølgelse i disse lande.

LockBit fungerer som ransomware-as-a-service (RaaS). De interesserede parter betaler et depositum for at gøre brug af skræddersyede "leasede" angreb og modtager fortjeneste i henhold til en affiliate-aftale. Løsepengene fordeles mellem LockBit-udviklerholdet og de angribende affilierede parter, der modtager op til ¾ af løsesummen.

Hvordan fungerer LockBit-ransomware?

LockBit-ransomware anses af mange myndigheder for at være en del af "LockerGoga & MegaCortex"-malwareserien. Det betyder blot, at ransomwarens adfærd ligner disse etablerede former for målrettet ransomware. Her kommer en hurtig forklaring af, hvad disse angreb er:

• Selvspredende inden for en virksomhed i stedet for at kræve manuel retning.
• Målrettet i stedet for at sprede sig udefinerbart som spammalware.
• Brug af lignende værktøjer til spredning, f.eks. Windows Powershell og SMB (Server Message Block).

Det mest fremtrædende træk er malwarens evne til selvstændig udbredelse, hvilket betyder, at den spreder sig alene. I sin programmering styres LockBit af foruddesignede automatiserede processer. Dette adskiller den fra mange andre ransomware-angreb, hvor hackeren befinder sig manuelt i netværket – nogle gange i mange uger – for at udføre rekognoscering og overvågning.

Når angriberen manuelt har inficeret en enkelt vært, kan han eller hun finde andre tilgængelige værter, forbinde dem til inficerede værter og dele infektionen ved hjælp af et script. Dette afsluttes og gentages helt uden menneskelig indgriben.

Desuden bruger det værktøjer i mønstre, der er hjemmehørende i næsten alle Windows-computersystemer. Slutpunktsikkerhedssystemer har derfor svært ved at registrere den skadelige aktivitet. Ransomwaren skjuler også den eksekverbare krypteringsfil ved at give den form som det almindelige PNG-billedfilformat, hvilket yderligere snyder systemets forsvar.

Faserne i et LockBit-angreb

LockBit-angreb kan i store træk deles op i tre faser:

1. Udnyt
2. Infiltrer
3. Implementer

Fase 1: Udnyt svaghederne i et netværk. Det oprindelige indbrud ligner som udgangspunkt andre skadelige angreb. En organisation kan udnyttes ved hjælp af en social engineering-taktik såsom phishing, hvor angribere udgiver sig for at være betroet personale eller myndigheder for at anmode om adgangsoplysninger. Lige så udbredt er brugen af brute force-angreb på en organisations intranetservere og netværkssystemer. Hvis virksomheden ikke har den korrekte netværkskonfiguration, kan angrebssonder fuldføre et sådant angreb inden for et par dage.

Når LockBit har fået adgang til et netværk, forbereder ransomwaren systemet til at frigive dets krypteringsnyttelast på tværs af alle de enheder, hvor det kan lade sig gøre. En hacker kan dog være nødt til at sikre sig, at nogle få yderligere trin er udført, før han eller hun kan foretage sit endelige træk.

Fase 2: Infiltrer dybere for at fuldføre opsætningen af angreb, hvis det er nødvendigt. Fra dette tidspunkt dirigerer LockBit-programmet al aktivitet uafhængigt af systemet. Det er programmeret til at bruge det, der kaldes "efterudnyttelsesværktøjer" til at opnå eskalerede rettigheder og dermed skabe et angrebsklart adgangsniveau. Programmet undersøger også adgange, som allerede er tilgængelige, ved at skifte fra system til system for at finde passende angrebspunkter.

Det er med andre ord her, LockBit udfører forberedelseshandlinger, før ransomwarens krypteringsdel installeres. Dette omfatter deaktivering af sikkerhedsprogrammer og enhver anden infrastruktur, der kan tillade systemgendannelse.

Målet med infiltration er at gøre uassisteret genoprettelse umulig eller tidskrævende nok til, at den eneste praktisk mulige løsning er at give efter for angriberens krav om løsesum. Når offeret er desperat efter at genoprette virksomhedens drift, så betaler han løsepengene.

Fase 3: Implementer krypteringsnyttelasten. Når netværket er forberedt på, at LockBit kan mobiliseres fuldt ud, vil ransomwaren begynde udbredelsen på tværs af enhver maskine, den kan komme i nærheden af. Som tidligere nævnt behøver LockBit ikke ret mange ressourcer for at fuldføre denne fase. En enkelt systemenhed med højt adgangsniveau kan udstede kommandoer til andre netværksenheder om at downloade LockBit-ransomwaren og køre den.

Krypteringsdelen vil derefter sætte en "lås" på alle systemfiler. Ofrene kan kun låse deres systemer op via en brugerdefineret nøgle, der er oprettet af LockBits eget dekrypteringsværktøj. Processen efterlader også kopier af en simpel tekstfil om løsepenge i hver systemmappe. Tekstfilen indeholder instruktioner til offeret, om hvad han eller hun skal gøre for at gendanne systemet, og i nogle LockBit-versioner inkluderer tekstfilen endda truende afpresning.

Når alle disse faser er fuldført, er de næste trin overladt til offeret. De kan nu vælge at kontakte LockBits supportdesk og betale løsesummen. Men det anbefales ikke at efterleve dette krav. Ofrene har ingen garanti for, at angriberne vil leve op til deres del af aftalen.

Typer af LockBit-trusler

Som det var tilfældet med det seneste ransomware-angreb, kan LockBit-truslen udgøre et væsentligt problem. Vi kan ikke udelukke muligheden for, at malwaren i fremtiden vil angribe på tværs af mange brancher og virksomheder, især med den nylige stigning inden for fjernarbejde. Men hvis du kan spotte LockBits varianter, kan det hjælpe til at identificere præcis, hvad du har med at gøre.

Variant 1 – .abcd-filendelsen

LockBits oprindelige version omdøber filendelser til ".abcd". Derudover indeholder den en løsepengeseddel med krav og instruktioner i filen "Restore-My-Files.txt", som er blevet indsat i alle mapper.

Variant 2 – . LockBit-filendelsen

Den anden kendte version af denne ransomware bruger filnavnet ".LockBit", hvilket har medført det nuværende kaldenavn. Men denne version er i det store hele identisk med den gamle .abcd-version med undtagelse af nogle revisioner i backend.

Variant 3 – . LockBit-version 2

2.0-versionen af LockBit kræver ikke længere download af Tor-browseren i dens instruktioner til løsepenge. I stedet sender den ofrene til et andet websted via traditionel internetadgang.

Løbende opdateringer til og revisioner af LockBit

For nylig er LockBit blevet optimeret med mere skadelige funktioner såsom at negere administrative rettighedskontrolpunkter. LockBit deaktiverer nu de sikkerhedsmeddelelser, som brugerne får vist, når et program forsøger at køre som administrator.

Desuden er malwaren nu konfigureret til at stjæle kopier af serverdata og indeholder desuden yderligere afpresningslinjer i løsepengenoten. Hvis offeret ikke følger instrukserne, truer LockBit nu med at offentliggøre offerets private data.

Fjernelse og dekryptering af LockBit

Hvis din virksomhed allerede er inficeret, får du ikke adgangen til dine filer tilbage blot ved at fjerne LockBit-ransomwaren. Du har stadig brug for et værktøj til at gendanne dit system, da krypteringen kræver en "nøgle", før du kan låse den op. Alternativt kan du muligvis gendanne dine systemer med en genafbildning, hvis du i forvejen har oprettet sikkerhedskopier af systemafbildningen, før infektionen skete.

Sådan beskytter du dig mod LockBit-ransomware

I sidste ende skal du iværksætte en række beskyttelsesforanstaltninger for at sikre, at din virksomhed er modstandsdygtig over for ransomware eller skadelige angreb fra kilden. Her er et par fremgangsmåder, der kan hjælpe dig med forberedelsen:

1. Brug stærke adgangskoder. Mange databrud opstår på grund af adgangskoder, der er nemme at gætte, eller som er enkle nok til, at et algoritmeværktøj kan knække dem i løbet af få dage. Sørg for at vælge en sikker adgangskode, f.eks. ved at bruge længere adgangskoder med tegnvariationer og oprette særlige regler til adgangsudtryk.
2. Aktiver multifaktorautentificering. Forebyg brute force-angreb ved at tilføje et lag oven på dine første adgangskodebaserede logins. Medtag foranstaltninger som biometri eller fysiske USB-nøgleautentifikatorer på alle systemer, hvor det er muligt.
3. Revurder og simplificer brugerkontorettighederne. Begræns rettigheder til de højere adgangsniveauer, så I begrænser potentielle trusler fra at kunne passere uhindret. Vær særlig opmærksom på de adgangsniveauer, der tilgås af slutpunktsbrugere og IT-konti med rettigheder på administratorniveau. Webdomæner, samarbejdsplatforme, webmødetjenester og virksomhedsdatabaser skal alle sikres.
4. Ryd ud i forældede og ubrugte brugerkonti. Nogle ældre systemer kan have konti liggende fra tidligere medarbejdere, der aldrig er blevet deaktiveret og lukket. I bør gennemgå jeres systemer og fjerne disse potentielle svaghedspunkter.
5. Sørg for, at systemkonfigurationerne lever op til alle sikkerhedsprocedurer. Det kan tage tid, men processen med at gennemgå eksisterende opsætninger kan påvise nye problemer og forældede politikker, der udsætter virksomheden for angreb. Standarddriftsprocedurer skal revurderes med jævne mellemrum, så de er opdateret i forhold til nye cybertrusler.
6. Sørg altid for at have taget sikkerhedskopier af hele systemet og rene lokale maskinafbildninger. Der kan altid ske hændelser, og den eneste sande beskyttelse mod permanent datatab er en offlinekopi. Med jævne mellemrum skal virksomheden oprette sikkerhedskopier for være opdateret med vigtige systemændringer. Hvis en sikkerhedskopi bliver inficeret af malware, skal I overveje at have flere roterende sikkerhedskopieringspunkter for altid at have mulighed for at vælge en ikke-inficeret periode.

Relaterede artikler:

• Måder, hvorpå hackere kan krænke dit online privatliv
• Hvad er et sikkerhedsbrud?
• Sikkerhedstrusler i forbindelse med Internet of Things
• Hvad er datafortrolighed?
• Vejledning til phishing