خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

هر آنچه باید درباره خانواده باج افزار LockBit بدانید

ارشیا یوسفی ادیب ۲۷ مرداد, ۱۴۰۱ 6 min read

LockBit یک تهدید بزرگ است که از مدل Ransomware-as-a-Service استفاده می کند. در اینجا چیزی است که شما باید بدانید.

اگر در مورد تهدیدات امنیت سایبری به روز باشید، احتمالاً از محبوبیت باج‌افزار خطرناکی آگاه هستید. این نوع بدافزار یک تهدید بزرگ برای افراد و سازمان‌ها به‌طور یکسان است، به‌طوری‌که انواع خاصی اکنون به انتخاب اصلی برای عوامل مخرب از جمله LockBit تبدیل شده‌اند.

بنابراین، LockBit چیست، از کجا آمده است و چگونه می توانید از خود در برابر آن محافظت کنید؟

باج افزار LockBit چیست؟

کد باینری روی صفحه نمایش لپ تاپ در کنار دستگاه های دیگر

در حالی که LockBit به عنوان یک سویه از باج افزار شروع شد، از آن زمان تاکنون چندین بار تکامل یافته است و آخرین نسخه آن با نام “LockBit 3.0” شناخته می شود (که کمی بعد در مورد آن صحبت خواهیم کرد). LockBit شامل یک خانواده از برنامه های باج افزار است که با استفاده از مدل Ransomware-as-a-a-Service (RaaS) کار می کنند.

Ransomware-as-a-Service یک مدل کسب و کار است که شامل پرداخت هزینه برای دسترسی به نوع خاصی از باج افزار می شود تا بتوانند از آن برای حملات خود استفاده کنند. از این طریق، کاربران به وابستگان تبدیل می‌شوند و پرداخت آن‌ها می‌تواند شامل یک هزینه ثابت یا یک سرویس مبتنی بر اشتراک باشد. به طور خلاصه، سازندگان LockBit راهی برای سود بیشتر از استفاده از آن با استفاده از این مدل RaaS پیدا کرده‌اند و حتی می‌توانند باج پرداختی توسط قربانیان را دریافت کنند.

تعدادی از برنامه های باج افزار دیگر از طریق مدل RaaS قابل دسترسی هستند، از جمله DarkSide و REvil. در کنار این موارد، LockBit یکی از محبوب ترین انواع باج افزار است که امروزه مورد استفاده قرار می گیرد.

با توجه به اینکه LockBit یک خانواده باج افزار است، استفاده از آن شامل رمزگذاری فایل های یک هدف است. مجرمان سایبری به روشی به دستگاه قربانی نفوذ می‌کنند، شاید از طریق ایمیل فیشینگ یا پیوست مخرب، و سپس از LockBit برای رمزگذاری تمام فایل‌های روی دستگاه استفاده می‌کنند تا کاربر غیرقابل دسترسی باشد.

مطلب مرتبط:   5 آسیب پذیری خطرناک برنامه های وب و نحوه پیدا کردن آنها

هنگامی که فایل های قربانی رمزگذاری شدند، مهاجم در ازای دریافت کلید رمزگشایی باج می خواهد. اگر قربانی رعایت نکند و باج را پرداخت نکند، احتمالاً مهاجم داده‌های موجود در وب تاریک را برای سود می‌فروشد. بسته به داده‌ها، این می‌تواند صدمات جبران‌ناپذیری به حریم خصوصی فرد یا سازمان وارد کند که می‌تواند فشار پرداخت باج را افزایش دهد.

اما این باج افزار بسیار خطرناک از کجا آمده است؟

ریشه های باج افزار LockBit

لپ تاپ با قفل سبز روی صفحه در مقابل کد باینری

دقیقاً مشخص نیست که LockBit چه زمانی توسعه یافته است، اما تاریخچه شناخته شده آن به سال 2019 باز می گردد، زمانی که برای اولین بار پیدا شد. این کشف پس از اولین موج حملات LockBit صورت گرفت، زمانی که باج‌افزار در ابتدا «ABCD» با اشاره به نام پسوند فایل‌های رمزگذاری‌شده مورد سوء استفاده در طول حملات ابداع شد. اما زمانی که مهاجمان شروع به استفاده از پسوند فایل “lockbit” کردند، نام باج افزار به آنچه امروز است تغییر کرد.

محبوبیت LockBit پس از توسعه دومین تکرار آن، LockBit 2.0 افزایش یافت. در اواخر سال 2021، LockBit 2.0 به طور فزاینده ای توسط شرکت های وابسته برای حملات مورد استفاده قرار گرفت، و پس از خاموش شدن سایر باج افزارهای باج افزار، LockBit توانست از شکاف موجود در بازار استفاده کند.

در واقع، طبق گزارش پالو آلتو، افزایش استفاده از LockBit 2.0 جایگاه آن را به عنوان «تاثیرگذارترین و گسترده‌ترین نوع باج‌افزاری که در تمام موارد نقض باج‌افزار در سه ماهه اول سال 2022 مشاهده کرده‌ایم، مستحکم کرد». علاوه بر این، Palo Alto در همان گزارش اظهار داشت که اپراتورهای LockBit ادعا می‌کنند که سریع‌ترین نرم‌افزار رمزگذاری را در بین باج‌افزارهای فعال فعلی دارند.

باج افزار LockBit در چندین کشور در سراسر جهان از جمله چین، ایالات متحده، فرانسه، اوکراین، بریتانیا و هند مشاهده شده است. تعدادی از سازمان های بزرگ نیز با استفاده از LockBit مورد هدف قرار گرفته اند، از جمله Accenture، یک شرکت خدمات حرفه ای ایرلندی-آمریکایی.

Accenture در نتیجه استفاده از LockBit در سال 2021 دچار نقض اطلاعات شد و مهاجمان باج 50 میلیون دلاری با بیش از 6 ترابایت داده رمزگذاری شده درخواست کردند. Accenture با پرداخت این باج موافقت نکرد، اگرچه شرکت ادعا کرد که هیچ مشتری تحت تأثیر این حمله قرار نگرفته است.

مطلب مرتبط:   توضیح داده شده: 8 ویژگی مهم VPN و نحوه کار آنها

LockBit 3.0 و خطرات آن

با افزایش محبوبیت LockBit، هر تکرار جدید یک نگرانی جدی است. آخرین نسخه LockBit که با نام LockBit 3.0 شناخته می شود، به ویژه در سیستم عامل های ویندوز به یک مشکل تبدیل شده است.

در تابستان 2022، LockBit 3.0 برای بارگیری محموله های مضر Cobalt Strike بر روی دستگاه های هدف از طریق بهره برداری از Windows Defender استفاده شد. در این موج از حملات، یک فایل خط فرمان اجرایی به نام MpCmdRun.exe مورد سوء استفاده قرار گرفت تا چراغ های Cobalt Strike بتوانند تشخیص امنیتی را دور بزنند.

LockBit 3.0 همچنین در بهره برداری از خط فرمان VMWare به نام VMwareXferlogs.exe برای استقرار بارهای Cobalt Strike دوباره استفاده شده است. مشخص نیست که آیا این حملات ادامه خواهند داشت یا به طور کامل به چیز دیگری تبدیل خواهند شد.

بدیهی است که باج‌افزار LockBit مانند بسیاری از برنامه‌های باج‌افزار ریسک بالایی دارد. بنابراین، چگونه می توانید خود را ایمن نگه دارید؟

چگونه از خود در برابر باج افزار LockBit محافظت کنید

گرافیک قفل دیجیتال آبی

با توجه به اینکه باج‌افزار LockBit برای رمزگذاری فایل‌ها ابتدا باید در دستگاه شما وجود داشته باشد، باید سعی کنید آن را از منبع قطع کنید و به طور کلی از عفونت جلوگیری کنید. اگرچه تضمین محافظت در برابر باج‌افزار دشوار است، اما کارهای زیادی وجود دارد که می‌توانید انجام دهید تا تا آنجا که ممکن است از آن جلوگیری کنید.

اولا، ضروری است که هرگز هیچ فایل یا برنامه نرم افزاری را از سایت هایی که کاملاً قانونی نیستند دانلود نکنید. دانلود هر نوع فایل تایید نشده در دستگاه شما می تواند به مهاجم باج افزار دسترسی آسان به فایل های شما را بدهد. مطمئن شوید که فقط از سایت‌های مورد اعتماد و مورد بازبینی برای دانلودهای خود یا فروشگاه‌های برنامه رسمی برای نصب نرم‌افزار استفاده می‌کنید.

مطلب مرتبط:   خلاصه پیام چیست؟

عامل دیگری که باید به آن توجه کرد این است که باج افزار LockBit اغلب از طریق پروتکل دسکتاپ از راه دور (RDP) پخش می شود. اگر از این فناوری استفاده نمی کنید، لازم نیست نگران این اشاره گر باشید. با این حال، اگر این کار را انجام می دهید، مهم است که شبکه RDP خود را با استفاده از محافظت از رمز عبور، VPN ها و غیرفعال کردن پروتکل زمانی که مستقیماً در حال استفاده نیست، ایمن کنید. اپراتورهای باج افزار اغلب اینترنت را برای اتصالات آسیب پذیر RDP اسکن می کنند، بنابراین افزودن لایه های حفاظتی اضافی، شبکه RDP شما را کمتر مستعد حملات می کند.

باج‌افزار همچنین می‌تواند از طریق فیشینگ، یک حالت فوق‌العاده محبوب عفونت و سرقت داده که توسط عوامل مخرب استفاده می‌شود، منتشر شود. فیشینگ معمولاً از طریق ایمیل ها انجام می شود، که در آن مهاجم یک پیوند مخرب را به بدنه ایمیل متصل می کند که قربانی را متقاعد می کند تا روی آن کلیک کند. این پیوند به یک وب سایت مخرب منتهی می شود که می تواند عفونت بدافزار را تسهیل کند.

اجتناب از فیشینگ می تواند به روش های مختلفی انجام شود، از جمله استفاده از ویژگی های ایمیل ضد هرزنامه، وب سایت های بررسی لینک و نرم افزار آنتی ویروس. همچنین باید آدرس فرستنده هر ایمیل جدید را تأیید کنید و اشتباهات تایپی را در ایمیل‌ها جستجو کنید (زیرا ایمیل‌های کلاهبرداری اغلب مملو از اشتباهات املایی و گرامری هستند).

LockBit همچنان یک تهدید جهانی است

LockBit به تکامل خود ادامه می‌دهد و قربانیان بیشتری را هدف قرار می‌دهد: این باج‌افزار به این زودی‌ها راه به جایی نخواهد برد. برای ایمن نگه داشتن خود از LockBit و به طور کلی باج افزار، برخی از نکات بالا را در نظر بگیرید. در حالی که ممکن است فکر کنید هرگز یک هدف نخواهید شد، به هر حال همیشه عاقلانه است که اقدامات احتیاطی لازم را انجام دهید.

Tags: