Lockbit چیست؟ باج افزار اخاذی دیجیتال
باج افزار LockBit نرم افزار مخربی است که دسترسی کاربران به سیستم های کامپیوتری را مسدود می کند. سپس این باج افزار برای ایجاد دسترسی مجدد ، باج دریافت می کند. LockBit به طور خودکار اهداف ارزشمند را بررسی و تمام سیستم های کامپیوتری قابل دسترس در یک شبکه را رمزگذاری می کند. این باج افزار برای حملات هدفمند سایبری علیه شرکت ها و سازمان های بسیار بزرگ استفاده می شود. برخی از نشانه های استفاده از باج افزار LockBit در یک حمله سایبری :
- اختلال در سیستم با توقف ناگهانی عملکردهای ضروری.
- اخاذی برای منافع مالی هکر
- سرقت اطلاعات و انتشار غیرقانونی با هدف باج خواهی در صورت عدم همکاری قربانی.
حملات LockBit در گروه حملات سایبری اخاذی قرار می گیرد. باجافزار ABCD ، نیز نمونه این ابزارهای اخاذی می باشد. LockBit همچنین به دلیل ایجاد درخواست باج در ازای رمزگشایی، به عنوان “ویروس کریپتو” نیز شناخته می شود. تمرکز LockBit همانطور که قبلا گفته شد بر شرکت های بزرگ و سازمان های دولتی می باشد تا افراد حقیقی.
حملات سایبری با استفاده از LockBit در ابتدا در سپتامبر 2019 آغاز شد، در آن زمان آن را “ویروس abcd” نامیدند. این نام به پسوند فایل مورد استفاده در هنگام رمزگذاری فایل های قربانی اشاره دارد. اهداف قابل توجه حملات LockBit در گذشته شامل سازمان هایی در ایالات متحده، چین، هند، اندونزی، اوکراین است. علاوه بر این، کشورهای مختلف در سراسر اروپا (فرانسه، بریتانیا، آلمان) شاهد حملات LockBit بودهاند.
اهداف LockBit ، اهدافی هستند که به اندازه کافی تحت تأثیر اختلال قرار می گیرند تا مبالغ سنگینی را پرداخت کنند و بودجه لازم برای انجام این کار را دارند. به این ترتیب، LockBit می تواند منجر به حملات گسترده علیه شرکت های بزرگ از مراقبت های بهداشتی گرفته تا موسسات مالی شود.
LockBit در نقش باج افزار به عنوان یک سرویس (RaaS) عمل می کند. طرفهای مایل برای استفاده از حملات سایبری سفارشی سپردهگذاری میکنند و تحت یک چارچوب افیلیت سود میبرند. پرداختهای باج بین تیم توسعهدهنده LockBit و شرکتهای افیلیت تقسیم میشود و وجوه باج را دریافت میکنند.
باج افزار LockBit چگونه کار می کند؟
باج افزار LockBit به عنوان بخشی از خانواده بدافزار LockerGoga & MegaCortex در نظر گرفته می شود. به این معنی که رفتارهایی را با این اشکال ایجاد شده از باج افزار هدفمند به اشتراک می گذارد. ویژگیهای حملات LockBit عبارتند از:
- گسترش خودکار به جای نیاز به هدایت دستی.
- گسترش هدفمند برخلاف بدافزارهای اسپم که پراکندگی نامنظم دارند.
- استفاده از ابزارهای مشابه برای گسترش، مانند Windows Powershell و Server Message Block (SMB).
یکی از مهمترین LockBit توانایی آن در تکثیر خودکار آن است، به این معنی که خود به خود گسترش می یابد. LockBit در برنامه نویسی ، توسط فرآیندهای خودکار از پیش طراحی شده هدایت می شود. این موضوع آن را از سایر حملات باج افزاری به صورت دستی در شبکه (گاهی برای هفته ها) برای تکمیل بازرسی و نظارت انجام می شوند، متمایز می کند.
پس از اینکه مهاجم به صورت دستی یک هاست را آلوده کرد، میتواند میزبانهای در دسترس دیگر را پیدا و سپس آنها را به میزبانهای آلوده متصل کند و با استفاده از یک اسکریپت آلودگی را به اشتراک بگذارد. این فرایند به طور کامل و بدون دخالت برنامه نویس تکمیل و تکرار می شود.
علاوه بر این، از ابزارهایی که تقریباً در تمام سیستم های رایانه ای ویندوز موجودند. سیستمهای امنیتی نقطه پایانی برای پرچمگذاری فعالیتهای مخرب مشکل دارند. همچنین فایل رمزگذاری اجرایی را با پنهان کردن آن به عنوان فرمت فایل تصویری PNG. مخفی می کند و دفاع سیستم را بیشتر فریب می دهد.
مراحل حملات LockBit
حملات LockBit را می توان تقریباً در سه مرحله درک کرد:
- بهره برداری (Exploit)
- نفوذ (Infiltrate)
- استقرار (Deploy)
مرحله 1:
اکسپلویت یا بهره برداری از نقاط ضعف در یک شبکه. نفوذ اولیه بسیار شبیه سایر حملات مخرب است. یک سازمان ممکن است توسط تاکتیکهای مهندسی اجتماعی مانند فیشینگ مورد سوء استفاده قرار گیرد.بدین ترتیب که مهاجمان با جعل هویت پرسنل یا مدیران مورد اعتماد اعتبار دسترسی را به دست می آورند. استفاده از حملات بروت فورس به سرورهای اینترانت و سیستم های شبکه یک سازمان به همان اندازه قابل اجرا است. بدون پیکربندی مناسب شبکه ، پروب های حمله در عرض چند روز می توانند تکمیل شوند.
مرحله 2:
بعد از نفوذ، برنامه LockBit تمام فعالیت های مخرب را به طور مستقل هدایت می کند. برنامه LockBit به گونه ای طراحی شده که از ابزارهای post-exploitation برای دریافت امتیازات بیشتر جهت دستیابی به سطح دسترسی آماده حمله استفاده کند. همچنین از طریق دسترسی های حرکت جانبی (lateral movement ) برای رسیدن به هدف استفاده می کند.
در این مرحله است که LockBit قبل از استقرار بخش رمزگذاری باجافزار، هرگونه اقدام آمادهسازی را انجام میدهد. این اقدامات شامل غیرفعال کردن برنامه های امنیتی و هر زیرساخت دیگری که می تواند اجازه بازیابی سیستم را دهد، می باشد.
هدف نفوذ این است که بازیابی سیستم را بسیار کند و یا غیر ممکن کند تا جایی که تسلیم شدن در برابر باج مهاجم تنها راه حل عملی برای قربانیان باشد. هنگامی که قربانی از برگرداندن سیستم به حالت عادی ناامید می شود، او هزینه باج را پرداخت می کند.
مرحله 3:
استقرار پی لود رمزگذاری. هنگامی که شبکه برای استقرار کامل LockBit آماده شد، باج افزار انتشار خود را در هر دستگاهی که بتواند آغاز می کند. همانطور که قبلاً گفته شد، LockBit برای تکمیل این مرحله به چیز زیادی نیاز ندارد. یک واحد سیستمی با دسترسی بالا می تواند برای دانلود LockBit و اجرای آن دستوراتی را به واحدهای شبکه دیگر صادر کند.
بخش رمزگذاری یک “lock” روی تمام فایل های سیستم قرار می دهد. قربانیان فقط می توانند قفل سیستم خود را از طریق یک کلید سفارشی ایجاد شده توسط ابزار رمزگشایی اختصاصی LockBit باز کنند. این فرآیند همچنین کپی هایی از یک فایل متنی یادداشت باج را در هر پوشه سیستم باقی می گذارد. این برنامه دستورالعملهایی را برای بازیابی سیستم خود به قربانی ارائه میدهد و حتی در برخی از نسخههای LockBit باجگیری تهدیدآمیز را شامل میشود.
با تکمیل تمام مراحل، مراحل بعدی به قربانی واگذار می شود. آنها ممکن است تصمیم بگیرند با پشتیبانی LockBit تماس بگیرند و باج را بپردازند. با این حال پیروی از خواسته های آنها توصیه نمی شود. به قربانیان هیچ تضمینی داده نمی شوند که مهاجمان به پایان معامله خود ادامه دهند.
انواع تهدیدات LockBit
به عنوان یکی از جدیدترین حملات باج افزار، تهدید LockBit می تواند یک نگرانی مهم باشد. این احتمال که در بسیاری از صنایع و سازمانها، بهویژه با افزایش اخیر کار ریموت، قابل اجرا می باشد. مشاهده انواع LockBit می تواند به شناسایی دقیق آنچه با آن سر و کار دارید کمک کند.
نوع 1 : پسوند abcd
نسخه اصلی LockBit فایلها را با نام پسوند «.abcd» تغییر نام میدهد. علاوه بر این، شامل یک یادداشت باج با درخواستها و دستورالعملهایی برای بازیابیهای ادعایی در فایل “Restore-My-Files.txt” است که در هر پوشه درج شده است.
نوع 2 : پسوند LockBit
دومین نسخه شناخته شده این باج افزار از پسوند فایل “LockBit” استفاده کرد و نام فعلی را به آن داد. با این حال، قربانیان متوجه خواهند شد که سایر ویژگیهای این نسخه با وجود برخی بازبینیها، عمدتاً یکسان به نظر میرسند.
نوع 3 : LockBit نسخه 2
نسخه قابل شناسایی بعدی LockBit دیگر نیازی به دانلود مرورگر Tor در دستورالعمل های باج خود ندارد. در عوض، قربانیان را از طریق دسترسی معمولی به اینترنت به یک وب سایت جایگزین می فرستد.
به روز رسانی ها و بازبینی های در حال انجام LockBit
اخیراً، LockBit با ویژگیهای شرورانهتری مانند نفی نقاط بازرسی مجوزهای اداری بهبود یافته است. LockBit اکنون اعلانهای ایمنی را غیرفعال میکند که کاربران ممکن است هنگام اجرای برنامه به عنوان سرپرست ببینند.
همچنین، این بدافزار در حال حاضر برای سرقت نسخههای دادههای سرور تنظیم شده است و شامل خطوط باجگیری اضافی در یادداشت باج است. در صورتی که قربانی دستورالعملها را دنبال نکند، LockBit اکنون انتشار عمومی دادههای خصوصی قربانی را تهدید میکند.
حذف و رمزگشایی LockBit
با تمام مشکلاتی که LockBit می تواند ایجاد کند، دستگاه های نقطه پایانی به استانداردهای حفاظتی کامل در کل سازمان شما نیاز دارند. این اولین قدم داشتن یک راه حل امنیتی نقطه پایانی جامع است، مانند Kaspersky Integrated Endpoint Security.
اگر سازمان شما قبلاً آلوده شده است، حذف باجافزار LockBit به تنهایی به شما امکان دسترسی به فایلهایتان را نمیدهد. شما همچنان به ابزاری برای بازیابی سیستم خود نیاز دارید، زیرا رمزگذاری برای باز کردن قفل به یک “کلید” نیاز دارد. از طرف دیگر، اگر قبلاً تصاویر پشتیبان قبل از عفونت ایجاد کرده اید، ممکن است بتوانید سیستم های خود را با تصویربرداری مجدد از آنها بازیابی کنید.
نحوه محافظت در برابر باج افزار LockBit :
در نهایت، شما باید اقدامات حفاظتی را برای اطمینان از انعطاف پذیری سازمان خود در برابر هر گونه باج افزار یا حملات مخرب تنظیم کنید. در ادامه چند تمرین آمده که می تواند به شما در آماده سازی کمک کند:
پسوردهای قوی باید پیاده سازی شوند. بسیاری از نقضهای حساب به دلیل گذرواژههای قابل حدس زدن یا مواردی هستند که به اندازه کافی ساده هستند تا ابزار الگوریتم ظرف چند روز پس از بررسی آن را کشف کند. مطمئن شوید که گذرواژه ایمن را انتخاب کرده اید، مانند انتخاب گذرواژه های طولانی تر با تغییرات کاراکترو استفاده از قوانین خودساخته برای ساخت عبارات عبور.
احراز هویت چند عاملی را فعال کنید. با افزودن لایه ها به لاگین های اولیه مبتنی بر رمز عبور، از حملات brute force جلوگیری کنید. در صورت امکان، اقداماتی مانند بیومتریک یا احراز هویت فیزیکی کلید USB را در همه سیستمهای خود لحاظ کنید.
مجوزهای حساب کاربری را دوباره ارزیابی و ساده کنید. مجوزها را به سطوح سختگیرانهتر محدود کنید تا تهدیدات بالقوه از عبور ناامید را محدود کنید. به مواردی که توسط کاربران نقطه پایانی و حسابهای IT با مجوزهای سطح مدیریت دسترسی دارند، توجه ویژه داشته باشید. دامنههای وب، پلتفرمهای مشارکتی، خدمات جلسات وب و پایگاههای داده سازمانی همگی باید ایمن باشند.
حساب های کاربری قدیمی و استفاده نشده را پاک کنید. برخی از سیستم های قدیمی ممکن است دارای حساب هایی از کارمندان قبلی باشند که هرگز غیرفعال و بسته نشده اند. تکمیل بررسی سیستم شما باید شامل حذف این نقاط ضعف بالقوه باشد.
اطمینان حاصل کنید که تنظیمات سیستم از تمام مراحل امنیتی پیروی می کنند. این ممکن است زمان بر باشد، اما بازبینی تنظیمات موجود ممکن است مسائل جدید و خطمشیهای قدیمی را نشان دهد که سازمان شما را در معرض خطر حمله قرار میدهد. رویه های عملیات استاندارد باید به طور دوره ای مورد ارزیابی مجدد قرار گیرد تا در برابر تهدیدات سایبری جدید به روز بماند.
همیشه پشتیبانهای کل سیستم را آماده کنید. تنها محافظ واقعی در برابر از دست دادن دائمی داده ها، کپی آفلاین است. به طور دورهای، سازمان شما باید پشتیبانگیری ایجاد کند تا از هرگونه تغییر مهم در سیستم شما بهروز بماند. در صورت آلوده شدن یک نسخه پشتیبان به عفونت بدافزار، داشتن چندین نقطه پشتیبان چرخشی را برای گزینه انتخاب دوره تمیز در نظر بگیرید.
مطمئن شوید که یک راه حل جامع امنیت سایبری سازمانی در محل خود دارید. در حالی که LockBit میتواند سعی کند حفاظتها را یک بار در یک واحد غیرفعال کند، نرمافزار حفاظت از امنیت سایبری سازمانی به شما کمک میکند تا دانلود فایلها را در کل سازمان با حفاظت همزمان دریافت کنید.