خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

باج افزار LockBit 3.0 چیست و چه کاری می توانید در مورد آن انجام دهید؟

ارشیا یوسفی ادیب ۲۲ مرداد, ۱۴۰۱ 5 min read

این باج‌افزار که با نام LockBit Black نیز شناخته می‌شود، از روش اخاذی مضاعف استفاده می‌کند تا بیشترین مقدار ممکن را از شما دریافت کند. در اینجا چیزی است که شما باید بدانید.

دزدی، اخاذی، باج گیری و جعل هویت در فضای مجازی بسیار زیاد است و هر ماه هزاران نفر قربانی کلاهبرداری ها و حملات مختلف می شوند. یکی از این حالت‌های حمله از نوعی باج‌افزار به نام LockBit 3.0 استفاده می‌کند. بنابراین، این باج افزار از کجا آمده است، چگونه از آن استفاده می شود، و برای محافظت از خود چه کاری می توانید انجام دهید؟

LockBit 3.0 از کجا آمد؟

لپ تاپ قفل شده و پرچم جمجمه

LockBit 3.0 (همچنین به عنوان LockBit Black شناخته می شود) گونه ای از باج افزار است که از خانواده باج افزار LockBit به وجود آمده است. این گروهی از برنامه های باج افزار است که برای اولین بار در سپتامبر 2019 و پس از وقوع اولین موج حملات کشف شد. در ابتدا، LockBit به عنوان “ویروس abcd.” شناخته می شد، اما در آن مرحله، مشخص نبود که سازندگان و کاربران LockBit به ایجاد تکرارهای جدید از برنامه باج افزار اصلی ادامه دهند.

خانواده برنامه‌های باج‌افزار LockBit خود به خود منتشر می‌شوند، اما فقط قربانیان خاصی هدف قرار می‌گیرند – عمدتاً آنهایی که توانایی پرداخت باج بزرگ را دارند. کسانی که از باج‌افزار LockBit استفاده می‌کنند، اغلب دسترسی به پروتکل دسک‌تاپ از راه دور (RDP) را در تاریک وب خریداری می‌کنند تا بتوانند از راه دور و راحت‌تر به دستگاه‌های قربانیان دسترسی داشته باشند.

اپراتورهای LockBit از اولین استفاده از آن سازمان‌ها را در سراسر جهان از جمله بریتانیا، ایالات متحده، اوکراین و فرانسه هدف قرار داده‌اند. این خانواده از برنامه‌های مخرب از مدل Ransomware-as-a-Service (RaaS) استفاده می‌کنند که در آن کاربران می‌توانند برای دسترسی به نوع خاصی از باج‌افزار به اپراتورها پول بدهند. این اغلب شامل نوعی اشتراک است. گاهی اوقات، کاربران حتی می توانند آمار را بررسی کنند تا ببینند آیا استفاده آنها از باج افزار LockBit موفقیت آمیز بوده است یا خیر.

مطلب مرتبط:   مدل کسب و کار هک: چگونه مهاجمان 20 میلیون دلار در ماه کیف می کنند

تا سال 2021 بود که LockBit از طریق LockBit 2.0 (سلف سویه فعلی) به یک باج افزار رایج تبدیل شد. در این مرحله، گروه‌هایی که از این باج‌افزار استفاده می‌کردند، تصمیم گرفتند مدل اخاذی مضاعف را اتخاذ کنند. این شامل رمزگذاری و استخراج (یا انتقال) فایل های قربانی به دستگاه دیگر است. این روش حمله اضافی کل وضعیت را برای فرد یا سازمان هدف ترسناک تر می کند.

جدیدترین نوع باج افزار LockBit با نام LockBit 3.0 شناسایی شده است. بنابراین، LockBit 3.0 چگونه کار می کند و امروزه چگونه از آن استفاده می شود؟

LockBit 3.0 چیست؟

شخصی که از لپ تاپ با نماد قفل روی صفحه استفاده می کند

در اواخر بهار 2022، تکرار جدیدی از گروه باج افزار LockBit کشف شد: LockBit 3.0. به عنوان یک برنامه باج افزار، LockBit 3.0 می تواند تمام فایل های موجود در یک دستگاه آلوده را رمزگذاری و استخراج کند و به مهاجم اجازه می دهد تا داده های قربانی را ظاهراً تا زمان پرداخت باج درخواستی گروگان نگه دارد. این باج افزار اکنون در طبیعت فعال است و نگرانی های زیادی را ایجاد کرده است.

فرآیند یک حمله معمولی LockBit 3.0 به شرح زیر است:

  1. LockBit 3.0 دستگاه قربانی را آلوده می‌کند، فایل‌ها را رمزگذاری می‌کند و پسوند فایل‌های رمزگذاری‌شده را به عنوان «HLjkNskOq» اضافه می‌کند.
  2. سپس یک کلید آرگومان خط فرمان معروف به “-pass” برای انجام رمزگذاری مورد نیاز است.
  3. LockBit 3.0 رشته های مختلفی را برای انجام چندین کار به طور همزمان ایجاد می کند تا رمزگذاری داده ها در زمان کمتری تکمیل شود.
  4. LockBit 3.0 خدمات یا ویژگی‌های خاصی را حذف می‌کند تا فرآیند رمزگذاری و استخراج را بسیار آسان‌تر کند.
  5. یک API برای دسترسی به پایگاه داده مدیر کنترل سرویس استفاده می شود.
  6. والپیپر دسکتاپ قربانی تغییر می کند تا بداند مورد حمله قرار گرفته است.

اگر قربانی در بازه زمانی مورد نیاز باج را پرداخت نکند، مهاجمان LockBit 3.0 داده‌هایی را که در وب تاریک دزدیده‌اند به سایر مجرمان سایبری می‌فروشند. این می تواند هم برای یک قربانی فردی و هم برای یک سازمان فاجعه بار باشد.

مطلب مرتبط:   نحوه فعال کردن بازگشایی خودکار برای درایوهای BitLocker

در زمان نگارش این مقاله، LockBit 3.0 برای بهره‌برداری از Windows Defender برای استقرار Cobalt Strike، ابزاری برای تست نفوذ که می‌تواند بارها را رها کند، قابل توجه است. این نرم افزار همچنین می تواند زنجیره ای از آلودگی های بدافزار را در چندین دستگاه ایجاد کند.

در این فرآیند، ابزار خط فرمان MpCmdRun.exe مورد سوء استفاده قرار می گیرد تا مهاجم بتواند بیکن ها را رمزگشایی و راه اندازی کند. این کار با فریب دادن سیستم برای اولویت بندی و بارگذاری یک DLL مخرب (کتابخانه Dynamic-Link) انجام می شود.

فایل اجرایی MpCmdRun.exe توسط Windows Defender برای اسکن بدافزار استفاده می شود، بنابراین از دستگاه در برابر فایل ها و برنامه های مضر محافظت می کند. با توجه به اینکه Cobalt Strike می تواند اقدامات امنیتی Windows Defender را دور بزند، برای مهاجمان باج افزار بسیار مفید شده است.

این تکنیک به عنوان بارگذاری جانبی نیز شناخته می‌شود و به طرف‌های مخرب اجازه می‌دهد تا داده‌های دستگاه‌های آلوده را ذخیره یا سرقت کنند.

چگونه از باج افزار LockBit 3.0 اجتناب کنیم؟

نماد قفل در مقابل گرافیک مدار

LockBit 3.0 یک نگرانی فزاینده است، به ویژه در میان سازمان های بزرگتر که دارای انبوهی از داده ها هستند که می توانند رمزگذاری و استخراج شوند. مهم است که اطمینان حاصل کنید که از این نوع حمله خطرناک دور هستید.

برای انجام این کار، ابتدا باید مطمئن شوید که در تمام حساب های خود از رمزهای عبور فوق العاده قوی و احراز هویت دو مرحله ای استفاده می کنید. این لایه امنیتی افزوده می‌تواند حمله مجرمان سایبری به شما را با استفاده از باج‌افزار بسیار سخت‌تر کند. به عنوان مثال، حملات باج افزار پروتکل دسکتاپ از راه دور را در نظر بگیرید. در چنین سناریویی، مهاجم اینترنت را برای اتصالات آسیب پذیر RDP اسکن می کند. بنابراین، اگر اتصال شما با رمز عبور محافظت می شود و از 2FA استفاده می کند، احتمال اینکه هدف قرار بگیرید بسیار کمتر است.

مطلب مرتبط:   کلاهبرداری باج خواهی "من از حساب شما برای شما ایمیل فرستادم" چیست؟ چگونه از آن اجتناب کنیم

علاوه بر این، همیشه باید سیستم عامل و برنامه های آنتی ویروس دستگاه خود را به روز نگه دارید. به روز رسانی نرم افزار می تواند زمان بر و خسته کننده باشد، اما دلیلی وجود دارد. چنین به‌روزرسانی‌هایی اغلب با رفع اشکال و ویژگی‌های امنیتی اضافی برای محافظت از دستگاه‌ها و داده‌های شما ارائه می‌شوند، بنابراین فرصت را از دست ندهید تا دستگاه‌های خود را به روز نگه دارید.

یکی دیگر از اقدامات مهمی که برای جلوگیری از حملات باج‌افزار، بلکه از پیامدهای آن، باید انجام داد، پشتیبان‌گیری از فایل‌ها است. گاهی اوقات، مهاجمان باج‌افزار اطلاعات مهمی را که به دلایل مختلف به آن نیاز دارید، پنهان می‌کنند، بنابراین داشتن یک نسخه پشتیبان، میزان آسیب را تا حدودی کاهش می‌دهد. کپی‌های آفلاین، مانند نسخه‌های ذخیره شده در یک حافظه USB، زمانی که داده‌ها از دستگاه شما به سرقت می‌رود یا پاک می‌شوند، می‌توانند ارزشمند باشند.

اقدامات پس از عفونت

در حالی که پیشنهادات بالا می تواند از شما در برابر باج افزار LockBit محافظت کند، هنوز احتمال عفونت وجود دارد. بنابراین، اگر متوجه شدید رایانه شما توسط LockBit 3.0 آلوده شده است، مهم است که غیرمنطقی عمل نکنید. مراحلی وجود دارد که می توانید برای حذف باج افزار از دستگاه خود انجام دهید که باید آنها را به دقت و با دقت دنبال کنید.

همچنین اگر قربانی یک حمله باج افزار شده اید، باید به مقامات هشدار دهید. این به طرف های مربوطه کمک می کند تا نوع خاصی از باج افزار را بهتر درک کنند و با آن مقابله کنند.

حملات LockBit 3.0 ممکن است ادامه یابد

هیچ کس نمی داند چند بار دیگر باج افزار LockBit 3.0 برای تهدید و سوء استفاده از قربانیان استفاده خواهد شد. به همین دلیل بسیار مهم است که از دستگاه ها و حساب های خود به هر طریق ممکن محافظت کنید تا داده های حساس شما ایمن بمانند.

Tags: