باج افزار LockBit نرم افزار مخربی است که دسترسی کاربران به سیستم های کامپیوتری را مسدود می کند. سپس این باج افزار برای ایجاد دسترسی مجدد ، باج دریافت می کند. LockBit به طور خودکار اهداف ارزشمند را بررسی و تمام سیستم های کامپیوتری قابل دسترس در یک شبکه را رمزگذاری می کند. این باج افزار برای حملات هدفمند سایبری علیه شرکت ها و سازمان های بسیار بزرگ استفاده می شود. برخی از نشانه های استفاده از باج افزار LockBit در یک حمله سایبری :

• اختلال در سیستم با توقف ناگهانی عملکردهای ضروری.
• اخاذی برای منافع مالی هکر
• سرقت اطلاعات و انتشار غیرقانونی با هدف باج خواهی در صورت عدم همکاری قربانی.

حملات LockBit در گروه حملات سایبری اخاذی قرار می گیرد. باج‌افزار ABCD ، نیز نمونه این ابزارهای اخاذی می باشد. LockBit همچنین به دلیل ایجاد درخواست باج در ازای رمزگشایی، به عنوان “ویروس کریپتو” نیز شناخته می شود.  تمرکز LockBit همانطور که قبلا گفته شد بر شرکت های بزرگ و سازمان های دولتی می باشد تا افراد حقیقی.

حملات سایبری  با استفاده از LockBit در ابتدا در سپتامبر 2019 آغاز شد، در آن زمان آن را “ویروس abcd” نامیدند. این نام به پسوند فایل مورد استفاده در هنگام رمزگذاری فایل های قربانی اشاره دارد. اهداف قابل توجه حملات LockBit در گذشته شامل سازمان هایی در ایالات متحده، چین، هند، اندونزی، اوکراین است. علاوه بر این، کشورهای مختلف در سراسر اروپا (فرانسه، بریتانیا، آلمان) شاهد حملات LockBit بوده‌اند.

اهداف LockBit ، اهدافی هستند که به اندازه کافی تحت تأثیر اختلال قرار می گیرند تا مبالغ سنگینی را پرداخت کنند و بودجه لازم برای انجام این کار را دارند. به این ترتیب، LockBit می تواند منجر به حملات گسترده علیه شرکت های بزرگ از مراقبت های بهداشتی گرفته تا موسسات مالی شود.

LockBit در نقش باج افزار به عنوان یک سرویس (RaaS) عمل می کند. طرف‌های مایل برای استفاده از حملات سایبری سفارشی سپرده‌گذاری می‌کنند و تحت یک چارچوب افیلیت سود می‌برند. پرداخت‌های باج بین تیم توسعه‌دهنده LockBit و شرکت‌های افیلیت تقسیم می‌شود و وجوه باج را دریافت می‌کنند.

باج افزار LockBit چگونه کار می کند؟

باج افزار LockBit  به عنوان بخشی از خانواده بدافزار LockerGoga & MegaCortex در نظر گرفته می شود. به این معنی که رفتارهایی را با این اشکال ایجاد شده از باج افزار هدفمند به اشتراک می گذارد. ویژگیهای حملات LockBit عبارتند از:

• گسترش خودکار به جای نیاز به هدایت دستی.
• گسترش هدفمند برخلاف بدافزارهای اسپم که پراکندگی نامنظم دارند.
• استفاده از ابزارهای مشابه برای گسترش، مانند Windows Powershell و Server Message Block (SMB).

یکی از مهمترین LockBit توانایی آن در تکثیر خودکار آن است، به این معنی که خود به خود گسترش می یابد. LockBit در برنامه نویسی ، توسط فرآیندهای خودکار از پیش طراحی شده هدایت می شود. این موضوع آن را از سایر حملات باج افزاری به صورت دستی در شبکه (گاهی برای هفته ها) برای تکمیل بازرسی و نظارت انجام می شوند، متمایز می کند.

پس از اینکه مهاجم به صورت دستی یک هاست را آلوده کرد، می‌تواند میزبان‌های در دسترس دیگر را پیدا و سپس آنها را به میزبان‌های آلوده متصل کند و با استفاده از یک اسکریپت آلودگی را به اشتراک بگذارد. این فرایند به طور کامل و بدون دخالت برنامه نویس تکمیل و تکرار می شود.

علاوه بر این، از ابزارهایی که تقریباً در تمام سیستم های رایانه ای ویندوز موجودند. سیستم‌های امنیتی نقطه پایانی برای پرچم‌گذاری فعالیت‌های مخرب مشکل دارند. همچنین فایل رمزگذاری اجرایی را با پنهان کردن آن به عنوان فرمت فایل تصویری PNG. مخفی می کند و دفاع سیستم را بیشتر فریب می دهد.

حملات LockBit را می توان تقریباً در سه مرحله درک کرد:

• بهره برداری (Exploit)
• نفوذ (Infiltrate)
• استقرار (Deploy)

مرحله 1:

اکسپلویت یا بهره برداری از نقاط ضعف در یک شبکه. نفوذ اولیه بسیار شبیه سایر حملات مخرب است. یک سازمان ممکن است توسط تاکتیک‌های مهندسی اجتماعی مانند فیشینگ مورد سوء استفاده قرار گیرد.بدین ترتیب که مهاجمان با جعل هویت پرسنل یا مدیران مورد اعتماد  اعتبار دسترسی را به دست می آورند. استفاده از حملات بروت فورس به سرورهای اینترانت و سیستم های شبکه یک سازمان به همان اندازه قابل اجرا است. بدون پیکربندی مناسب شبکه ، پروب های حمله در عرض چند روز می توانند تکمیل شوند.

مرحله 2:

بعد از نفوذ، برنامه LockBit تمام فعالیت های مخرب را به طور مستقل هدایت می کند. برنامه LockBit به گونه ای طراحی شده که از ابزارهای post-exploitation برای دریافت امتیازات بیشتر جهت دستیابی به سطح دسترسی آماده حمله استفاده کند. همچنین از طریق دسترسی های حرکت جانبی (lateral movement ) برای رسیدن به هدف استفاده می کند.

در این مرحله است که LockBit قبل از استقرار بخش رمزگذاری باج‌افزار، هرگونه اقدام آماده‌سازی را انجام می‌دهد. این اقدامات شامل غیرفعال کردن برنامه های امنیتی و هر زیرساخت دیگری که می تواند اجازه بازیابی سیستم را دهد، می باشد.

هدف نفوذ این است که بازیابی سیستم را بسیار کند و یا غیر ممکن کند تا جایی که تسلیم شدن در برابر باج مهاجم تنها راه حل عملی برای قربانیان باشد. هنگامی که قربانی از برگرداندن سیستم به حالت عادی ناامید می شود، او هزینه باج را پرداخت می کند.

مرحله 3:

استقرار پی لود رمزگذاری. هنگامی که شبکه برای استقرار کامل LockBit آماده شد، باج افزار انتشار خود را در هر دستگاهی که بتواند آغاز می کند. همانطور که قبلاً گفته شد، LockBit برای تکمیل این مرحله به چیز زیادی نیاز ندارد. یک واحد سیستمی با دسترسی بالا می تواند برای دانلود LockBit و اجرای آن دستوراتی را به واحدهای شبکه دیگر صادر کند.

بخش رمزگذاری یک “lock” روی تمام فایل های سیستم قرار می دهد. قربانیان فقط می توانند قفل سیستم خود را از طریق یک کلید سفارشی ایجاد شده توسط ابزار رمزگشایی اختصاصی LockBit باز کنند. این فرآیند همچنین کپی هایی از یک فایل متنی یادداشت باج را در هر پوشه سیستم باقی می گذارد. این برنامه دستورالعمل‌هایی را برای بازیابی سیستم خود به قربانی ارائه می‌دهد و حتی در برخی از نسخه‌های LockBit باج‌گیری تهدیدآمیز را شامل می‌شود.

با تکمیل تمام مراحل، مراحل بعدی به قربانی واگذار می شود. آنها ممکن است تصمیم بگیرند با پشتیبانی LockBit تماس بگیرند و باج را بپردازند. با این حال پیروی از خواسته های آنها توصیه نمی شود. به قربانیان هیچ تضمینی داده نمی شوند که مهاجمان به پایان معامله خود ادامه دهند.

به عنوان یکی از جدیدترین حملات باج افزار، تهدید LockBit می تواند یک نگرانی مهم باشد. این احتمال که در بسیاری از صنایع و سازمان‌ها، به‌ویژه با افزایش اخیر کار ریموت، قابل اجرا می باشد. مشاهده انواع LockBit می تواند به شناسایی دقیق آنچه با آن سر و کار دارید کمک کند.

نوع 1 : پسوند abcd
نسخه اصلی LockBit فایل‌ها را با نام پسوند «.abcd» تغییر نام می‌دهد. علاوه بر این، شامل یک یادداشت باج با درخواست‌ها و دستورالعمل‌هایی برای بازیابی‌های ادعایی در فایل “Restore-My-Files.txt” است که در هر پوشه درج شده است.

نوع 2 : پسوند LockBit
دومین نسخه شناخته شده این باج افزار از پسوند فایل “LockBit” استفاده کرد و نام فعلی را به آن داد. با این حال، قربانیان متوجه خواهند شد که سایر ویژگی‌های این نسخه با وجود برخی بازبینی‌ها، عمدتاً یکسان به نظر می‌رسند.

نوع 3 : LockBit نسخه 2
نسخه قابل شناسایی بعدی LockBit دیگر نیازی به دانلود مرورگر Tor در دستورالعمل های باج خود ندارد. در عوض، قربانیان را از طریق دسترسی معمولی به اینترنت به یک وب سایت جایگزین می فرستد.

به روز رسانی ها و بازبینی های در حال انجام LockBit
اخیراً، LockBit با ویژگی‌های شرورانه‌تری مانند نفی نقاط بازرسی مجوزهای اداری بهبود یافته است. LockBit اکنون اعلان‌های ایمنی را غیرفعال می‌کند که کاربران ممکن است هنگام اجرای برنامه به عنوان سرپرست ببینند.

همچنین، این بدافزار در حال حاضر برای سرقت نسخه‌های داده‌های سرور تنظیم شده است و شامل خطوط باج‌گیری اضافی در یادداشت باج است. در صورتی که قربانی دستورالعمل‌ها را دنبال نکند، LockBit اکنون انتشار عمومی داده‌های خصوصی قربانی را تهدید می‌کند.

حذف و رمزگشایی LockBit
با تمام مشکلاتی که LockBit می تواند ایجاد کند، دستگاه های نقطه پایانی به استانداردهای حفاظتی کامل در کل سازمان شما نیاز دارند. این اولین قدم داشتن یک راه حل امنیتی نقطه پایانی جامع است، مانند Kaspersky Integrated Endpoint Security.

اگر سازمان شما قبلاً آلوده شده است، حذف باج‌افزار LockBit به تنهایی به شما امکان دسترسی به فایل‌هایتان را نمی‌دهد. شما همچنان به ابزاری برای بازیابی سیستم خود نیاز دارید، زیرا رمزگذاری برای باز کردن قفل به یک “کلید” نیاز دارد. از طرف دیگر، اگر قبلاً تصاویر پشتیبان قبل از عفونت ایجاد کرده اید، ممکن است بتوانید سیستم های خود را با تصویربرداری مجدد از آنها بازیابی کنید.

نحوه محافظت در برابر باج افزار LockBit :

در نهایت، شما باید اقدامات حفاظتی را برای اطمینان از انعطاف پذیری سازمان خود در برابر هر گونه باج افزار یا حملات مخرب تنظیم کنید. در ادامه چند تمرین آمده که می تواند به شما در آماده سازی کمک کند:

پسوردهای قوی باید پیاده سازی شوند. بسیاری از نقض‌های حساب به دلیل گذرواژه‌های قابل حدس زدن یا مواردی هستند که به اندازه کافی ساده هستند تا ابزار الگوریتم ظرف چند روز پس از بررسی آن را کشف کند. مطمئن شوید که گذرواژه ایمن را انتخاب کرده اید، مانند انتخاب گذرواژه های طولانی تر با تغییرات کاراکترو استفاده از قوانین خودساخته برای ساخت عبارات عبور.

احراز هویت چند عاملی را فعال کنید. با افزودن لایه ها به لاگین های اولیه مبتنی بر رمز عبور، از حملات brute force جلوگیری کنید. در صورت امکان، اقداماتی مانند بیومتریک یا احراز هویت فیزیکی کلید USB را در همه سیستم‌های خود لحاظ کنید.

مجوزهای حساب کاربری را دوباره ارزیابی و ساده کنید. مجوزها را به سطوح سخت‌گیرانه‌تر محدود کنید تا تهدیدات بالقوه از عبور ناامید را محدود کنید. به مواردی که توسط کاربران نقطه پایانی و حساب‌های IT با مجوزهای سطح مدیریت دسترسی دارند، توجه ویژه داشته باشید. دامنه‌های وب، پلتفرم‌های مشارکتی، خدمات جلسات وب و پایگاه‌های داده سازمانی همگی باید ایمن باشند.
حساب های کاربری قدیمی و استفاده نشده را پاک کنید. برخی از سیستم های قدیمی ممکن است دارای حساب هایی از کارمندان قبلی باشند که هرگز غیرفعال و بسته نشده اند. تکمیل بررسی سیستم شما باید شامل حذف این نقاط ضعف بالقوه باشد.

اطمینان حاصل کنید که تنظیمات سیستم از تمام مراحل امنیتی پیروی می کنند. این ممکن است زمان بر باشد، اما بازبینی تنظیمات موجود ممکن است مسائل جدید و خط‌مشی‌های قدیمی را نشان دهد که سازمان شما را در معرض خطر حمله قرار می‌دهد. رویه های عملیات استاندارد باید به طور دوره ای مورد ارزیابی مجدد قرار گیرد تا در برابر تهدیدات سایبری جدید به روز بماند.

همیشه پشتیبان‌های کل سیستم را آماده کنید. تنها محافظ واقعی در برابر از دست دادن دائمی داده ها، کپی آفلاین است. به طور دوره‌ای، سازمان شما باید پشتیبان‌گیری ایجاد کند تا از هرگونه تغییر مهم در سیستم شما به‌روز بماند. در صورت آلوده شدن یک نسخه پشتیبان به عفونت بدافزار، داشتن چندین نقطه پشتیبان چرخشی را برای گزینه انتخاب دوره تمیز در نظر بگیرید.
مطمئن شوید که یک راه حل جامع امنیت سایبری سازمانی در محل خود دارید. در حالی که LockBit می‌تواند سعی کند حفاظت‌ها را یک بار در یک واحد غیرفعال کند، نرم‌افزار حفاظت از امنیت سایبری سازمانی به شما کمک می‌کند تا دانلود فایل‌ها را در کل سازمان با حفاظت هم‌زمان دریافت کنید.