Шифровальщик LockBit – что нужно знать

LockBit – определение

Шифровальщик LockBit – это вредоносное программное обеспечение, блокирующее доступ к компьютерным системам и требующее от пользователя выкуп за восстановление данных. LockBit автоматически отыскивает подходящую жертву, распространяется по сети и зашифровывает все данные на зараженных устройствах. Шифровальщик применяется в целевых атаках против крупных предприятий и других организаций. Используя это самоуправляемое вредоносное ПО, злоумышленники атакуют компании по всему миру, нанося им ущерб, связанный с одной из причин:

• Остановка работы из-за внезапного отказа важнейших функций.
• Вымогательство с целью получения финансовой выгоды.
• Кража данных и угроза их публикации в случае невыполнения жертвой поставленных требований.

Что представляет собой шифровальщик LockBit?

LockBit – это новый участник продолжительной серии вымогательских кибератак. Программа, ранее известная как шифровальщик ABCD, выросла в уникального представителя вымогательского ПО. LockBit представляет собой подкласс программ-вымогателей, именуемых «криптовирусами», поскольку злоумышленники требуют выкуп за восстановление зашифрованных данных. Как правило, жертвами атак этой вредоносной программы становятся не отдельные люди, а крупные компании и правительственные организации.

Атаки LockBit начались в сентябре 2019 года,. Тогда шифровальщик получил название ABCD. Оно было взято из расширения, которое LockBit присваивал зашифрованным файлам, – .abcd. Жертвами злоумышленников в прошлом уже становились организации из США, Китая, Индии, Индонезии и Украины, а также из нескольких европейских стран, в частности Франции, Великобритании и Германии.

Идеальная жертва – та, которой выгоднее будет заплатить вымогателям кругленькую сумму, чем терпеть ущерб от атаки, и у которой эта сумма есть. Поэтому злоумышленники атакуют преимущественно крупные предприятия – от медицинских организаций до финансовых учреждений. При этом, судя по предусмотренным в нем автоматическим проверкам, шифровальщик избегает атак на устройства, расположенные в России или другой стране СНГ. Скорее всего, злоумышленники не хотят быть привлечены к ответственности в этих странах.

LockBit работает по схеме «шифровальщик как услуга» (RaaS). Клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе». Им причитается до 75% от суммы выкупа, остальное достается разработчикам LockBit.

Как работает шифровальщик LockBit?

LockBit относят к семейству шифровальщиков LockerGoga и MegaCortex. Это означает, что он использует те же модели поведения, что и перечисленные виды целевых шифровальщиков. Если говорить кратко, мы считаем, что эти вредоносные программы:

• автоматически распространяются внутри организации и не требуют ручного управления;
• являются целевыми , а не рассылаются наугад, как спамерское вредоносное ПО;
• используют однотипные инструменты для распространения, такие как Windows Powershell и Server Message Block (SMB).

Самая важная характеристика этих шифровальщиков – их способность распространяться самостоятельно. LockBit управляется заранее заданными автоматическими процессами. Это и отличает его от большинства подобных атак, которые после проникновения в сеть управляются вручную. В этом случае на наблюдение и сбор информации о жертве могут уйти недели.

После того как злоумышленник вручную заражает один хост, он может обнаружить другие доступные хосты, подключить их к зараженному и с помощью скрипта распространить вредоносную программу. В случае LockBit действия совершаются и повторяются без какого-либо вмешательства человека.

Кроме того, инструменты в атаке используются по шаблонам, характерным почти для всех систем Windows. Системам защиты рабочих мест такую вредоносную активность обнаружить очень сложно. Исполняемые файлы шифровальщика маскируются под изображения в формате .PNG, что также обманывает системы безопасности.

Этапы атак типа LockBit

Атаки LockBit можно разделить на три этапа:

1. Эксплуатация
2. Внедрение
3. Развертывание

Этап 1. Эксплуатация слабых мест сети. Начинается все, как и при большинстве других атак. Кто-то из сотрудников организации ведется на приемы социальной инженерии, такие как фишинг, в ходе которого злоумышленник прикидывается доверенным лицом или начальством и запрашивает у жертвы учетные данные. Злоумышленники также могут получить доступ к внутренним серверам и системам организации с помощью подбора пароля. Если сеть сконфигурирована ненадлежащим образом, злоумышленникам понадобится всего несколько дней, чтобы в нее проникнуть.

Поле того как LockBit попадет в сеть, он готовится шифровать все доступные устройства. Но перед финальным броском злоумышленник может выполнить пару дополнительных шагов.

Этап 2. Внедрение вглубь системы для завершения настройки атаки (при необходимости). Начиная с этого этапа программа LockBit действует автономно. Она запрограммирована на использование так называемых инструментов постэксплуатации, которые позволяют повысить привилегии для получения уровня доступа, необходимого для успешной атаки, а также пользуется уже открытым в ходе горизонтального перемещения доступом, чтобы собрать информацию о перспективности жертвы.

Именно на этом этапе LockBit выполняет все подготовительные действия перед началом шифрования, в частности, отключает защиту и другие элементы инфраструктуры, которые могут позволить восстановить систему.

Цель внедрения — сделать невозможным или очень долгим самостоятельное восстановление систем, чтобы мотивировать жертву заплатить выкуп. Обычно организация готова пойти на сделку со злоумышленниками, когда уже отчаялась вернуться к нормальной работе своими силами.

Этап 3. Развертывание шифрующей полезной нагрузки. Как только LockBit завершит подготовку, шифровальщик начинает распространяться по всем машинам, до которых может дотянуться. Как уже было сказано, LockBit немногое нужно, чтобы завершить этот этап. Один элемент системы с высоким уровнем доступа может отдать другим элементам команду скачать и запустить LockBit.

После этого все файлы системы будут зашифрованы. Жертва может получить к ним доступ только с помощью индивидуального ключа, сгенерированного собственным декриптором LockBit. В процессе шифрования в каждой папке системы размещается простой текстовый файл с информацией о выкупе. В таких файлах содержатся инструкции по восстановлению системы, а в некоторых версиях LockBit встречаются и угрозы шантажа.

После того как все три этапа были завершены, дальнейшие шаги зависят от самой жертвы. Жертва может связаться со службой поддержки LockBit и заплатить выкуп. Однако подчиняться требованиям злоумышленников не рекомендуется, ведь у жертвы нет никакой гарантии, что вымогатели выполнят свои обещания, когда получат деньги.

Варианты LockBit

Угрозы этого типа могут представлять серьезную проблему, так как появились они совсем недавно. Мы не можем исключить возможность их распространения по разным отраслям и организациям, особенно учитывая всеобщий переход на удаленную работу. Определение варианта LockBit поможет вам понять, с чем именно вы имеете дело.

Вариант 1 – расширение .abcd

Оригинальная версия LockBit присваивает файлам расширение .abcd. Также программа добавляет в каждую папку текстовый файл Restore-My-Files.txt, содержащий требования злоумышленников и инструкции по восстановлению системы.

Вариант 2 – расширение LockBit

Вторая известная версия шифровальщика меняет расширение файлов на .LockBit, которое и дало ему нынешнее название. Однако в остальном этот вариант почти не отличается от предыдущего с точки зрения жертвы. В нем только немного изменился бэкенд.

Вариант 3 – LockBit, версия 2

Эта версия LockBit больше не просит скачать браузер Tor для выполнения требований злоумышленников. Вместо этого жертву перенаправляют на веб-сайт в обычном интернете.

Регулярные обновления и изменения LockBit

Недавно в LockBit добавили еще несколько вредоносных функций, таких как блокировка контрольных точек для действий с администраторскими правами. Теперь LockBit отключает уведомления, которые пользователи видят, когда программа пытается запуститься от имени администратора.

Кроме того, вредоносное ПО теперь настроено на кражу копий данных с сервера, а в текстовый файл с требованием выкупа злоумышленники добавили несколько строк шантажа. Если жертва не будет следовать инструкциям, LockBit угрожает опубликовать ее данные.

Удаление LockBit и расшифровка данных

Учитывая количество проблем, к которым может привести заражение LockBit, конечные устройства по всей организации необходимо обеспечить защитой, соответствующей самым строгим стандартам. Первым делом стоит приобрести комплексное решение для защиты рабочих мест, такое какKaspersky Integrated Endpoint Security.

Если ваша организация уже стала жертвой шифровальщика, простое удаление LockBit не вернет вам доступ к файлам. Вам по-прежнему понадобится инструмент восстановления, так как для расшифровки файлов нужен соответствующий «ключ». Кроме того, если незадолго до атаки вы сохранили резервную копию образа своей системы, восстановиться можно из него.

Как защититься от шифровальщика LockBit

Безусловно, необходимо внедрить в систему вашей организации защитные меры, которые помогут ей эффективнее сопротивляться атакам шифровальщиков и другого вредоносного ПО и обнаруживать заражение на ранней стадии. Вот несколько советов, которые помогут вам укрепить вашу систему защиты.

1. Необходимо использовать надежные пароли. Значительная часть инцидентов происходит из-за слишком простых паролей, то есть паролей, которые легко подобрать с помощью специальной программы. Убедитесь, что используете надежный пароль, состоящий из длинного набора разнообразных символов, и используйте парольные фразы, придуманные по собственным правилам.
2. Не забывайте про многофакторную аутентификацию. Защититься от атак путем подбора пароля можно, добавив дополнительные слои защиты. Внедрите такие инструменты, как биометрическаяаутентификация или физический USB-ключ там, где это возможно.
3. Пересмотрите права пользователей и ограничьте их. Ограничьте разрешения, чтобы снизить риск распространения потенциальной угрозы. Уделяйте особое внимание системам, к которым имеют доступ пользователи конечных устройств и сотрудники IT-службы с правами администратора. Нужно защитить все – интернет-домены, платформы для совместной работы, сервисы для проведения онлайн-собраний и корпоративные базы данных.
4. Избавьтесь от старых и неиспользуемых учетных записей. Старые системы могут хранить учетные записи бывших сотрудников, которые по какой-то причине не были деактивированы или удалены. Проверка системы должна включать в себя удаление таких аккаунтов.
5. Убедитесь, что конфигурации системы соответствуют всем требованиям безопасности. Проверка существующих конфигураций может занять какое-то время, но она может помочь вам обнаружить новые проблемы и устаревшие политики, которые делают вашу компанию уязвимой. Стандартные процедуры работы необходимо периодически пересматривать, чтобы поддерживать их актуальность для борьбы с новыми киберугрозами.
6. Всегда держите под рукой резервные копии всей системы и чистые образы локальных машин. Инцидентов не избежать. Единственной настоящей защитой от потери данных является создание копии на физическом носителе. Организация должна регулярно делать резервные копии, содержащие все важные изменения систем. На случай, если резервная копия окажется заражена вредоносным ПО, стоит иметь несколько бэкапов, которые обновляются в разное время, чтобы у вас всегда была возможность выбрать чистую копию системы для восстановления.
7. Используйте комплексное корпоративное решение для кибербезопасности. Шифровальщик LockBit может попытаться отключить защиту, как только попадет на устройство, но корпоративное решение, работающее в режиме реального времени, перехватит вредоносные файлы на стадии загрузки на всех устройствах организации. Узнайте больше о решениях «Лаборатории Касперского» для защиты крупных предприятий.

Статьи по теме:

• Как хакеры нарушают вашу приватность в Сети
• Что такое нарушение безопасности?
• Угрозы безопасности для интернета вещей
• Что такое приватность данных?
• Путеводитель по фишингу