LockBit یک تهدید بزرگ است که از مدل Ransomware-as-a-Service استفاده می کند. در اینجا چیزی است که شما باید بدانید.
اگر در مورد تهدیدات امنیت سایبری به روز باشید، احتمالاً از محبوبیت باجافزار خطرناکی آگاه هستید. این نوع بدافزار یک تهدید بزرگ برای افراد و سازمانها بهطور یکسان است، بهطوریکه انواع خاصی اکنون به انتخاب اصلی برای عوامل مخرب از جمله LockBit تبدیل شدهاند.
بنابراین، LockBit چیست، از کجا آمده است و چگونه می توانید از خود در برابر آن محافظت کنید؟
باج افزار LockBit چیست؟
در حالی که LockBit به عنوان یک سویه از باج افزار شروع شد، از آن زمان تاکنون چندین بار تکامل یافته است و آخرین نسخه آن با نام “LockBit 3.0” شناخته می شود (که کمی بعد در مورد آن صحبت خواهیم کرد). LockBit شامل یک خانواده از برنامه های باج افزار است که با استفاده از مدل Ransomware-as-a-a-Service (RaaS) کار می کنند.
Ransomware-as-a-Service یک مدل کسب و کار است که شامل پرداخت هزینه برای دسترسی به نوع خاصی از باج افزار می شود تا بتوانند از آن برای حملات خود استفاده کنند. از این طریق، کاربران به وابستگان تبدیل میشوند و پرداخت آنها میتواند شامل یک هزینه ثابت یا یک سرویس مبتنی بر اشتراک باشد. به طور خلاصه، سازندگان LockBit راهی برای سود بیشتر از استفاده از آن با استفاده از این مدل RaaS پیدا کردهاند و حتی میتوانند باج پرداختی توسط قربانیان را دریافت کنند.
تعدادی از برنامه های باج افزار دیگر از طریق مدل RaaS قابل دسترسی هستند، از جمله DarkSide و REvil. در کنار این موارد، LockBit یکی از محبوب ترین انواع باج افزار است که امروزه مورد استفاده قرار می گیرد.
با توجه به اینکه LockBit یک خانواده باج افزار است، استفاده از آن شامل رمزگذاری فایل های یک هدف است. مجرمان سایبری به روشی به دستگاه قربانی نفوذ میکنند، شاید از طریق ایمیل فیشینگ یا پیوست مخرب، و سپس از LockBit برای رمزگذاری تمام فایلهای روی دستگاه استفاده میکنند تا کاربر غیرقابل دسترسی باشد.
هنگامی که فایل های قربانی رمزگذاری شدند، مهاجم در ازای دریافت کلید رمزگشایی باج می خواهد. اگر قربانی رعایت نکند و باج را پرداخت نکند، احتمالاً مهاجم دادههای موجود در وب تاریک را برای سود میفروشد. بسته به دادهها، این میتواند صدمات جبرانناپذیری به حریم خصوصی فرد یا سازمان وارد کند که میتواند فشار پرداخت باج را افزایش دهد.
اما این باج افزار بسیار خطرناک از کجا آمده است؟
ریشه های باج افزار LockBit
دقیقاً مشخص نیست که LockBit چه زمانی توسعه یافته است، اما تاریخچه شناخته شده آن به سال 2019 باز می گردد، زمانی که برای اولین بار پیدا شد. این کشف پس از اولین موج حملات LockBit صورت گرفت، زمانی که باجافزار در ابتدا «ABCD» با اشاره به نام پسوند فایلهای رمزگذاریشده مورد سوء استفاده در طول حملات ابداع شد. اما زمانی که مهاجمان شروع به استفاده از پسوند فایل “lockbit” کردند، نام باج افزار به آنچه امروز است تغییر کرد.
محبوبیت LockBit پس از توسعه دومین تکرار آن، LockBit 2.0 افزایش یافت. در اواخر سال 2021، LockBit 2.0 به طور فزاینده ای توسط شرکت های وابسته برای حملات مورد استفاده قرار گرفت، و پس از خاموش شدن سایر باج افزارهای باج افزار، LockBit توانست از شکاف موجود در بازار استفاده کند.
در واقع، طبق گزارش پالو آلتو، افزایش استفاده از LockBit 2.0 جایگاه آن را به عنوان «تاثیرگذارترین و گستردهترین نوع باجافزاری که در تمام موارد نقض باجافزار در سه ماهه اول سال 2022 مشاهده کردهایم، مستحکم کرد». علاوه بر این، Palo Alto در همان گزارش اظهار داشت که اپراتورهای LockBit ادعا میکنند که سریعترین نرمافزار رمزگذاری را در بین باجافزارهای فعال فعلی دارند.
باج افزار LockBit در چندین کشور در سراسر جهان از جمله چین، ایالات متحده، فرانسه، اوکراین، بریتانیا و هند مشاهده شده است. تعدادی از سازمان های بزرگ نیز با استفاده از LockBit مورد هدف قرار گرفته اند، از جمله Accenture، یک شرکت خدمات حرفه ای ایرلندی-آمریکایی.
Accenture در نتیجه استفاده از LockBit در سال 2021 دچار نقض اطلاعات شد و مهاجمان باج 50 میلیون دلاری با بیش از 6 ترابایت داده رمزگذاری شده درخواست کردند. Accenture با پرداخت این باج موافقت نکرد، اگرچه شرکت ادعا کرد که هیچ مشتری تحت تأثیر این حمله قرار نگرفته است.
LockBit 3.0 و خطرات آن
با افزایش محبوبیت LockBit، هر تکرار جدید یک نگرانی جدی است. آخرین نسخه LockBit که با نام LockBit 3.0 شناخته می شود، به ویژه در سیستم عامل های ویندوز به یک مشکل تبدیل شده است.
در تابستان 2022، LockBit 3.0 برای بارگیری محموله های مضر Cobalt Strike بر روی دستگاه های هدف از طریق بهره برداری از Windows Defender استفاده شد. در این موج از حملات، یک فایل خط فرمان اجرایی به نام MpCmdRun.exe مورد سوء استفاده قرار گرفت تا چراغ های Cobalt Strike بتوانند تشخیص امنیتی را دور بزنند.
LockBit 3.0 همچنین در بهره برداری از خط فرمان VMWare به نام VMwareXferlogs.exe برای استقرار بارهای Cobalt Strike دوباره استفاده شده است. مشخص نیست که آیا این حملات ادامه خواهند داشت یا به طور کامل به چیز دیگری تبدیل خواهند شد.
بدیهی است که باجافزار LockBit مانند بسیاری از برنامههای باجافزار ریسک بالایی دارد. بنابراین، چگونه می توانید خود را ایمن نگه دارید؟
چگونه از خود در برابر باج افزار LockBit محافظت کنید
با توجه به اینکه باجافزار LockBit برای رمزگذاری فایلها ابتدا باید در دستگاه شما وجود داشته باشد، باید سعی کنید آن را از منبع قطع کنید و به طور کلی از عفونت جلوگیری کنید. اگرچه تضمین محافظت در برابر باجافزار دشوار است، اما کارهای زیادی وجود دارد که میتوانید انجام دهید تا تا آنجا که ممکن است از آن جلوگیری کنید.
اولا، ضروری است که هرگز هیچ فایل یا برنامه نرم افزاری را از سایت هایی که کاملاً قانونی نیستند دانلود نکنید. دانلود هر نوع فایل تایید نشده در دستگاه شما می تواند به مهاجم باج افزار دسترسی آسان به فایل های شما را بدهد. مطمئن شوید که فقط از سایتهای مورد اعتماد و مورد بازبینی برای دانلودهای خود یا فروشگاههای برنامه رسمی برای نصب نرمافزار استفاده میکنید.
عامل دیگری که باید به آن توجه کرد این است که باج افزار LockBit اغلب از طریق پروتکل دسکتاپ از راه دور (RDP) پخش می شود. اگر از این فناوری استفاده نمی کنید، لازم نیست نگران این اشاره گر باشید. با این حال، اگر این کار را انجام می دهید، مهم است که شبکه RDP خود را با استفاده از محافظت از رمز عبور، VPN ها و غیرفعال کردن پروتکل زمانی که مستقیماً در حال استفاده نیست، ایمن کنید. اپراتورهای باج افزار اغلب اینترنت را برای اتصالات آسیب پذیر RDP اسکن می کنند، بنابراین افزودن لایه های حفاظتی اضافی، شبکه RDP شما را کمتر مستعد حملات می کند.
باجافزار همچنین میتواند از طریق فیشینگ، یک حالت فوقالعاده محبوب عفونت و سرقت داده که توسط عوامل مخرب استفاده میشود، منتشر شود. فیشینگ معمولاً از طریق ایمیل ها انجام می شود، که در آن مهاجم یک پیوند مخرب را به بدنه ایمیل متصل می کند که قربانی را متقاعد می کند تا روی آن کلیک کند. این پیوند به یک وب سایت مخرب منتهی می شود که می تواند عفونت بدافزار را تسهیل کند.
اجتناب از فیشینگ می تواند به روش های مختلفی انجام شود، از جمله استفاده از ویژگی های ایمیل ضد هرزنامه، وب سایت های بررسی لینک و نرم افزار آنتی ویروس. همچنین باید آدرس فرستنده هر ایمیل جدید را تأیید کنید و اشتباهات تایپی را در ایمیلها جستجو کنید (زیرا ایمیلهای کلاهبرداری اغلب مملو از اشتباهات املایی و گرامری هستند).
LockBit همچنان یک تهدید جهانی است
LockBit به تکامل خود ادامه میدهد و قربانیان بیشتری را هدف قرار میدهد: این باجافزار به این زودیها راه به جایی نخواهد برد. برای ایمن نگه داشتن خود از LockBit و به طور کلی باج افزار، برخی از نکات بالا را در نظر بگیرید. در حالی که ممکن است فکر کنید هرگز یک هدف نخواهید شد، به هر حال همیشه عاقلانه است که اقدامات احتیاطی لازم را انجام دهید.