Home „LockBit Ransomware“: išsamus produktyviausios kibernetinės grėsmės vadovas

„LockBit Ransomware“: išsamus produktyviausios kibernetinės grėsmės vadovas

„LockBit“ išpirkos reikalaujanti programinė įranga pastaraisiais metais tapo viena pavojingiausių ir produktyviausių kibernetinių grėsmių. Naudodamas Ransomware-as-a-Service (RaaS) modelį, LockBit nusitaikė į tūkstančius organizacijų visame pasaulyje, padarydamas milijardus dolerių žalos ir prievartuodamas,Teisingumo departamento duomenimis, išpirkos mokėjimai viršija 120 mln.Pirmą kartą pasirodęs2019 m. rugsėjo mėn, „LockBit“ greitai išsivystė į sudėtingą ir lengvai pritaikomą kenkėjiškų programų atmainą. Jo sėkmė gali būti siejama su keliais veiksniais:

  1. Patogi sąsaja, leidžianti net mažiau techniškai įgudusiems filialams įdiegti atakas
  2. Inovatyvios mokėjimo struktūros, skatinančios filialus prisijungti prie operacijos
  3. Nuolatinis ransomware kodo tobulinimas ir tobulinimas
  4. Agresyvi rinkodaros taktika kibernetinių nusikaltėlių forumuose

2024 m. birželio mėnFTB paskelbė, kad gavo daugiau nei 7000 „LockBit“ išpirkos reikalaujančių programų iššifravimo raktų. Aukos raginamos susisiekti su FTB skundų dėl nusikaltimų internetu centru (IC3), kad padėtų atkurti užšifruotus duomenis. 2024 m. gruodžio mėn.valdžios institucijos areštavo „Lockbit“ kūrėją Izraelyje. 51 metų Rostislavas Panevas užsiima išpirkos reikalaujančiomis programomis nuo pat jos pradžios 2019 m. ir jam gresia ekstradicija į JAV.

LockBit variantai

„LockBit“ operacija laikui bėgant išleido keletą variantų, kurių kiekvienas turi patobulintas galimybes:

Taip pat skaitykite:Alfa Ransomware: kaip susidoroti su nauja kibernetinė grėsme

  1. ABCD išpirkos programa (2019 m. rugsėjis) – „LockBit“ pirmtakas
  2. „LockBit 2.0“ / „LockBit Red“ (2021 m. birželis) – pristatytas „StealBit“, integruotas informacijos vagystės įrankis
  3. LockBit Linux-ESXi Locker (2021 m. spalio mėn.) – išplėstos galimybės, skirtos Linux ir VMware ESXi sistemoms
  4. LockBit 3.0 / LockBit Black (2022 m. kovo mėn.) – bendri panašumai su BlackMatter ir Alphv išpirkos programomis
  5. „LockBit Green“ (2023 m. sausis) – įtrauktas „Conti ransomware“ šaltinio kodas
  6. „LockBit macOS“ (2023 m. balandžio mėn.) – šifruotojai, skirti „macOS“ sistemoms

„LockBit“ pagrindinės atakos

Nuo pat įkūrimo „LockBit“ buvo atsakinga už daugybę aukšto lygio atakų įvairiuose sektoriuose. Kai kurie reikšmingi incidentai apima:

  1. Lurie vaikų ligoninė Čikagoje(2024 m. vasario mėn.) – Ataka privertė ligoninę atjungti IT sistemas, sutrikdė normalią veiklą ir uždelsė pacientų priežiūrą.
  2. Šventojo Antano ligoninė Čikagoje(2023 m. gruodis) – „LockBit“ pareikalavo beveik 900 000 USD išpirkos ir savo nutekėjimo svetainėje paskelbė ligoninės informaciją.

Pasaulinis poveikis

FTB praneša, kad nuo 2020 metų „LockBit“ užpuolė maždaug 1700 organizacijų Jungtinėse Valstijose, o aukos sumokėjo apie 91 mln. USD išpirką. Visame pasaulyje „LockBit“ pareikalavo daugiau nei 2000 aukų ir gavo daugiau nei 120 mln. USD išpirkos mokėjimų.

„LockBit“ išpirkos reikalaujančių programų užkrėtimo ir vykdymo metodai

„LockBit“ filialai taiko įvairias taktikas, kad gautų pradinę prieigą prie aukų tinklų:

Pradinė prieiga

„LockBit“ filialai taiko įvairias sudėtingas taktikas, kad gautų pradinę prieigą prie aukų tinklų. Vienas iš labiausiai paplitusių būdų yra sukčiavimo el. laiškai, kuriuose yra kenkėjiškų priedų arba nuorodų, kurias atidarius arba spustelėjus, išpirkos reikalaujanti programa įdiegiama tikslinėje sistemoje. Kitas dažnai naudojamas būdas yra nepataisytų programinės įrangos spragų išnaudojimas, pasinaudojant organizacijų, kurios turi nuolat atnaujinti savo sistemas su naujausiais saugos pataisymais, pranašumais. Taip pat paplitusios žiaurios jėgos atakos prieš nuotolinio darbalaukio protokolo (RDP) ryšius, kai užpuolikai naudoja automatinius įrankius, kad atspėtų silpnus arba dažnai naudojamus slaptažodžius. Be to, kai kurios filialai tamsiuose interneto forumuose perka pavogtus prieigos kredencialus iš kitų kibernetinių nusikaltėlių, suteikdami jiems tiesioginį įėjimo į pažeistus tinklus tašką.

Poeksploatacinė veikla

Kai „LockBit“ filialai sėkmingai įsiskverbia į tinklą, jie laikosi sistemingo požiūrio, kad padidintų savo atakos poveikį. Pirmasis žingsnis paprastai apima privilegijų eskalavimą, kai užpuolikai siekia įgyti aukštesnio lygio prieigos teises sistemoje, dažnai taikydami administratoriaus paskyras. Po to seka tinklo žvalgyba, kurios metu jie nustato tinklo architektūrą ir nustato vertingus objektus, tokius kaip svarbūs serveriai ar duomenų bazės, kuriose yra jautrios informacijos. Tada užpuolikai juda į šoną, plinta visame tinkle, kad užkrėstų kelias sistemas ir išplėstų jų kontrolę. Prieš pradėdami šifravimo procesą, „LockBit“ operatoriai dažnai išfiltruoja neskelbtinus duomenis, kurie yra jų turto prievartavimo poreikių svertas. Kitas etapas apima failų ir sistemų šifravimą naudojant patikimus šifravimo algoritmus, veiksmingai užrakinant auką nuo savo duomenų. Galiausiai užpuolikai pristato išpirkos raštelį su mokėjimo nurodymais ir grasinimais, taip inicijuodami turto prievartavimą.

Dvigubo turto prievartavimo taktika

„LockBit“ patobulino savo požiūrį, taikydamas dvigubą turto prievartavimo strategiją, žymiai padidindamas aukoms tenkantį spaudimą sumokėti išpirką. Pirminis turto prievartavimas apima išpirkos reikalavimą, kad būtų iššifruoti užrakinti failai, o tai yra tradicinis išpirkos reikalaujančios programos modelis. Tačiau „LockBit“ žengia dar vieną žingsnį toliau, naudodamas antrinį turto prievartavimą. Šiame etape užpuolikai grasina paskelbti pavogtus duomenis nutekintose svetainėse, jei nebus sumokėta išpirka. Šis papildomas turto prievartavimo sluoksnis išnaudoja aukos baimę dėl duomenų atskleidimo, žalos reputacijai ir galimų teisinių pasekmių. Išnaudodama esminių duomenų nepasiekiamumą ir grėsmę jų viešam paskelbimui, „LockBit“ žymiai padidina išpirkos mokėjimo tikimybę, todėl jų veikla tampa pelningesnė ir pražūtinga aukoms.

LockBit Ransomware Indicators of Compromise (IOC)

Kompromiso rodikliai (IOC) yra tinkle arba operacinėje sistemoje pastebėti artefaktai, kurie labai patikimai rodo kompiuterio įsibrovimą. IOC gali būti naudojamas anksti aptikti būsimus atakų bandymus, naudojant įsibrovimų aptikimo sistemas ir antivirusinę programinę įrangą. Kad nustatytų LockBit infekciją, organizacijos turėtų ieškoti šių rodiklių:

Failų plėtiniai

  • .abcd (ankstyvosios versijos)
  • .LockBit (naujesnės versijos)

Išpirkos pastaba

  • „Restore-My-Files.txt“ – paprastai paliekama kiekviename užšifruotame aplanke

Failų maišos (SHA256)

Keletas failų maišos pavyzdžių, susijusių su LockBit išpirkos programa:

  • 74d9a91c4e6d2c15f3b6f8e7679e624f
  • a3f2e7cb7315c1e48801cb8c6a86d2d2
  • b8eac9e84b458976f3944bb56b18031d

Elgesio rodikliai

  • Staigus negalėjimas pasiekti failų ar sistemų.
  • Neįprasta tinklo veikla arba duomenų perdavimas.
  • Išpirkos užrašų atsiradimas užkrėstose sistemose.
  • Netikėtas sistemos išjungimas arba paleidimas iš naujo.

Kaip elgtis su „LockBit“ išpirkos reikalaujančios programos ataka

Pradinis žingsnis sprendžiant „LockBit“ išpirkos reikalaujančios programos ataką yra izoliuoti užkrėstą įrenginį atjungiant jį nuo interneto ir atjungiant visus prijungtus išorinius įrenginius. Po to labai svarbu informuoti vietos valdžios institucijas. Tai apimaFTBirInterneto nusikaltimų skundų centras (IC3)asmenims ir įmonėms Jungtinėse Amerikos Valstijose.Norėdami pranešti apie kenkėjiškų programų incidentą, surinkite visą susijusią informaciją, įskaitant:

  • Išpirkos užrašo ekrano nuotraukos
  • Bet koks bendravimas su užpuolikais (jei įmanoma)
  • Šifruoto failo pavyzdys

Jei pageidaujate profesionalios pagalbos, palikite visus užkrėstus įrenginius nepaliestus ir kreipkitės į skubios išpirkos reikalaujančios programos pašalinimo paslaugą. Šios srities ekspertai gali veiksmingai sumažinti žalą, rinkti įrodymus, pakeisti šifravimą ir atkurti sistemą. Užkrėsto įrenginio paleidimas iš naujo arba išjungimas gali pakenkti atkūrimo pastangoms. Užfiksavus veikiančios sistemos RAM gali padėti gauti šifravimo raktą, o identifikuojant lašintuvo failą, atsakingą už kenkėjiškos naudingosios apkrovos vykdymą, gali būti atlikta atvirkštinė inžinerija, dėl kurios gali būti iššifruoti duomenys arba galima sužinoti apie kenkėjiškos programos veikimą.Neištrinkite išpirkos reikalaujančios programos. pasilikti visus išpuolio įrodymus. Tai labai svarbu, kad skaitmeninės kriminalistikos specialistai galėtų atsekti ir identifikuoti įsilaužėlių grupę. Duomenys apie jūsų pažeistą sistemą yra būtini, kad institucijos galėtų ištirti incidentą. Kaip ir atliekant kitus kriminalinius tyrimus, kibernetinių atakų tyrimams reikia įrodymų, kad būtų galima nustatyti nusikaltėlius.

1. Susisiekite su savo Reagavimo į incidentus teikėją

Reagavimas į kibernetinius incidentus apima kibernetinio saugumo incidentų valdymo ir reagavimo į juos strategijas. Reagavimo į incidentus saugotojas yra paslaugų sutartis su kibernetinio saugumo įmone, kuri leidžia organizacijoms gauti išorinę pagalbą tokių incidentų metu. Šis susitarimas suteikia struktūrizuotą patirtį ir saugumo partnerio paramą, palengvinančią greitą ir veiksmingą reagavimą kibernetinės krizės metu. Reagavimo į incidentus fiksatorius nuramina organizacijas, užtikrina ekspertų pagalbą prieš ir po kibernetinio saugumo incidento. Reagavimo į incidentą laikmenos specifika gali skirtis priklausomai nuo teikėjo ir organizacijos poreikių. Veiksmingas laikiklis turi būti tvirtas ir pritaikomas, teikdamas patikrintas paslaugas, skirtas organizacijos ilgalaikei saugai sustiprinti. Susisiekus su reagavimo į incidentus paslaugų teikėju, jis gali nedelsdamas perimti atsakomybę ir padėti jums atlikti išpirkos reikalaujančių programų atkūrimo procesą. Tačiau jei kenkėjiškų programų pašalinimą ir failų atkūrimą valdote kartu su IT komanda, galite atlikti šiuos veiksmus.

2. Norėdami atkurti duomenis, naudokite atsarginę kopiją

Negalima pervertinti atsarginių kopijų svarbos atkuriant duomenis, ypač atsižvelgiant į įvairias rizikas ir grėsmes duomenų vientisumui. Atsarginės kopijos yra gyvybiškai svarbus išsamios duomenų apsaugos strategijos elementas. Jie leidžia atsigauti nuo daugelio grėsmių, užtikrina veiklos tęstinumą ir saugo vertingą informaciją. Išpirkos reikalaujančios programinės įrangos atakos metu, kai kenkėjiška programinė įranga užšifruoja jūsų duomenis ir reikalauja sumokėti už jų išleidimą, atsarginė kopija leidžia atkurti informaciją nepaklusant užpuoliko reikalavimams. Reguliariai tikrinkite ir atnaujinkite atsargines kopijas, kad padidintumėte jos veiksmingumą prieš galimus duomenų praradimo scenarijus. Pasirinkite tinkamą atsarginės kopijos laikmeną ir įsitikinkite, kad bent viena duomenų kopija būtų saugoma ne svetainėje ir neprisijungus.

3. Susisiekite su kenkėjiškų programų atkūrimo tarnyba

Susisiekite su duomenų atkūrimo tarnyba, jei neturite atsarginės kopijos arba jums reikia pagalbos pašalinant kenkėjiškas programas ir pažeidžiamumą. Išpirkos sumokėjimas negarantuoja duomenų atkūrimo. Vienintelis užtikrintas būdas atkurti visus failus yra atsarginės kopijos kūrimas. Jei atsarginė kopija nepasiekiama, išpirkos reikalaujančios programos duomenų atkūrimo paslaugos gali padėti iššifruoti ir atkurti failus.

Užkirsti kelią „LockBit“ išpirkos reikalaujančių programų atakai

Išpirkos reikalaujančių programų prevencija yra geriausias duomenų saugumo sprendimas. Tai lengviau ir pigiau nei atsigauti nuo jo. „LockBit Ransomware“ gali kainuoti jūsų verslo ateitį ir netgi uždaryti duris. Štai keli patarimai, padėsiantys išvengti kenkėjiškų programų atakų:

  • Atnaujinkite operacinę sistemą ir programinę įrangąsu naujausiomis saugos pataisomis ir naujinimais, kad būtų išvengta pažeidžiamumų, kuriuos gali išnaudoti užpuolikai.
  • Norėdami sumažinti neteisėtos prieigos riziką, naudokite stiprius, unikalius slaptažodžiusvisoms paskyroms ir, kai tik įmanoma, įgalinkite dviejų veiksnių autentifikavimą.
  • Būkite atsargūs su įtartinais el. laiškais, nuorodomis ir priedais.Venkite atidaryti el. laiškų ar spustelėti nuorodasiš nežinomų ar abejotinų šaltinių.
  • Naudokite gerbiamąantivirusinė ir anti-kenkėjiška programinė įrangaprograminę įrangą, reguliariai ją atnaujindami, kad aptiktų ir pašalintų kenkėjiškas programas, kol jos nepadarys žalos.
  • Įdiekite ugniasienę, kad blokuotumėte neteisėtą prieigą prie tinklo ir sistemų.
  • Įdarbintitinklo segmentavimasPadalyti platesnį tinklą į mažesnius antrinius tinklus, kurių tarpusavio ryšys yra ribotas, apribojant užpuolikų judėjimą į šonus ir užkertant kelią neteisėtai prieigai prie jautrių duomenų.
  • Apriboti vartotojo teisessiekiant sumažinti užpuolikų prieigą prie jautrių duomenų ir sistemų.
  • Apmokyti darbuotojusatpažinti ir išvengti sukčiavimo el. laiškų bei kitų socialinės inžinerijos taktikos.

Related Posts

Kaip peržiūrėti pakartotinius įrašus ir atšaukti pakartotinį paskelbimą „Instagram“ (2025 m.)

Kaip peržiūrėti pakartotinius įrašus ir atšaukti pakartotinį paskelbimą „Instagram“ (2025 m.)

2025-08-07
Kaip iš naujo nustatyti pagrindinius kompiuterius failą atgal į numatytąjį „Windows 10“

Kaip iš naujo nustatyti pagrindinius kompiuterius failą atgal į numatytąjį „Windows 10“

2025-05-07
Kur yra sistemos paslaugos „iPhone“/„iPad“

Kur yra sistemos paslaugos „iPhone“/„iPad“

2025-05-07
Kaip iš naujo nustatyti „Lost Windows“ virtualios mašinos slaptažodį „VMware ESXI / VSphere“

Kaip iš naujo nustatyti „Lost Windows“ virtualios mašinos slaptažodį „VMware ESXI / VSphere“

2025-05-09
Kaip iš naujo nustatyti „Apple ID“ slaptažodį: 5 išbandyti būdai

Kaip iš naujo nustatyti „Apple ID“ slaptažodį: 5 išbandyti būdai

2024-12-15
„Windows 11 2024“ naujinimas (24 val. 2) žinomos problemos ir sprendimai

„Windows 11 2024“ naujinimas (24 val. 2) žinomos problemos ir sprendimai

2024-11-19
Kaip išjungti „Webrtc“

Kaip išjungti „Webrtc“

2025-09-26
Išjunkite orų informaciją užrakto ekrane „Windows 10/11“

Išjunkite orų informaciją užrakto ekrane „Windows 10/11“

2024-01-13
Kaip sukurti prisijungimo, vartotojo ir suteikimo leidimus SQL serveryje

Kaip sukurti prisijungimo, vartotojo ir suteikimo leidimus SQL serveryje

2025-08-06
Patarimas: kaip įjungti ar išjungti AI chatbot „Firefox“ šoninėje juostoje

Patarimas: kaip įjungti ar išjungti AI chatbot „Firefox“ šoninėje juostoje

2025-02-05
7 geriausias ekrano laiko slaptažodžio pašalinimo įrankis nemokamai

7 geriausias ekrano laiko slaptažodžio pašalinimo įrankis nemokamai

2024-10-24
IMAP aktyvinimo el. pašto paskyroje vadovas IMAP (Internet Message Access Protocol) yra el. pašto protokolas, leidžiantis vartotojams pasiekti ir valdyti el. laiškus iš bet kurio įrenginio. Jei norite įjungti IMAP SMTP paslaugą, atlikite toliau nurodytus veiksmus. 1 žingsnis:Prisijunkite prie savo el. pašto paskyros. 2 žingsnis:Puslapio viršuje, dešinėje, ieškokite parinkties „Nustatymai“ arba „Nustatymai“ ir spustelėkite ją. 3 žingsnis:Parinkčių sąraše raskite „IMAP Access“ arba „IMAP“ ir suaktyvinkite. 4 žingsnis:Konfigūruokite IMAP SMTP nustatymus savo el. pašto programoje. Įveskite savo el. pašto adresą ir slaptažodį, kaip paskyros tipą pasirinkite IMAP ir įsitikinkite, kad gaunamo ir siunčiamo pašto serverio nustatymai yra teisingi. Atlikdami šiuos paprastus veiksmus, galite įjungti IMAP SMTP paslaugą savo el. pašto paskyroje ir pasiekti el. laiškus iš bet kurio įrenginio. Jums nebereikės jaudintis, kad prarasite svarbų el. laišką!

IMAP aktyvinimo el. pašto paskyroje vadovas IMAP (Internet Message Access Protocol) yra el. pašto protokolas, leidžiantis vartotojams pasiekti ir valdyti el. laiškus iš bet kurio įrenginio. Jei norite įjungti IMAP SMTP paslaugą, atlikite toliau nurodytus veiksmus. 1 žingsnis:Prisijunkite prie savo el. pašto paskyros. 2 žingsnis:Puslapio viršuje, dešinėje, ieškokite parinkties „Nustatymai“ arba „Nustatymai“ ir spustelėkite ją. 3 žingsnis:Parinkčių sąraše raskite „IMAP Access“ arba „IMAP“ ir suaktyvinkite. 4 žingsnis:Konfigūruokite IMAP SMTP nustatymus savo el. pašto programoje. Įveskite savo el. pašto adresą ir slaptažodį, kaip paskyros tipą pasirinkite IMAP ir įsitikinkite, kad gaunamo ir siunčiamo pašto serverio nustatymai yra teisingi. Atlikdami šiuos paprastus veiksmus, galite įjungti IMAP SMTP paslaugą savo el. pašto paskyroje ir pasiekti el. laiškus iš bet kurio įrenginio. Jums nebereikės jaudintis, kad prarasite svarbų el. laišką!

2024-10-03
Valdiklis ir žaidimų skydelio testeris

Valdiklis ir žaidimų skydelio testeris

2025-03-08
Pataisykite beveik pilną „iPhone“ saugyklą po „iOS 18“ atnaujinimo: 4 sprendimai

Pataisykite beveik pilną „iPhone“ saugyklą po „iOS 18“ atnaujinimo: 4 sprendimai

2024-10-24
Tinklo planavimas UniFi dizaino centre

Tinklo planavimas UniFi dizaino centre

2024-09-23