Løsepengeviruset LockBit er en skadelig programvare som er utviklet for å sperre brukere ute fra datasystemer, og som krever løsepenger for at de skal få tilgang igjen. LockBit går automatisk etter verdifulle mål, der det sprer infeksjonen og krypterer alle tilgjengelige datasystemer i et nettverk. Dette løsepengeviruset brukes til svært målrettede angrep mot bedrifter og andre organisasjoner. LockBit er et egenstyrt nettangrep som LockBit-angriperne har brukt til å true organisasjoner over hele verden med følgende trusler:
LockBit er et nytt løsepengevirus i en lang rekke av utpressingsangrep. Viruset gikk tidligere under navnet ABCD, og det har utviklet seg til en unik trussel innenfor løsepengeprogramvare. LockBit tilhører en underklasse av løsepengevirus som kalles kryptovirus, fordi det ber om løsepenger mot dekryptering. Det fokuserer på bedrifter og offentlige organisasjoner fremfor enkeltpersoner.
Angrep med LockBit begynte i september 2019, da det fikk navnet «ABCD-viruset». Kallenavnet fikk det etter filtypen som ble brukt ved kryptering av filene til offeret. Blant tidligere mål finner man blant annet organisasjoner i USA, Kina, India, Indonesia og Ukraina. Også flere land i Europa (Frankrike, Storbritannia, Tyskland) har hatt angrep.
Interessante mål er alle som blir tilstrekkelig hemmet til å gå med på å betale en stor pengesum – og som har ressursene til å betale. Derfor kan man se angrep mot store organisasjoner innenfor alt fra helse til finans. Den automatiserte utvelgelsen ser ut til å med vilje unngå angrep på systemer i Russland og andre land i Samveldet av uavhengige stater. Dette er sannsynligvis for å unngå rettsforfølgelse i disse områdene.
LockBit fungerer nærmest som en betalingstjeneste. Villige personer betaler et innskudd for å få lov til å bruke tilpassede angrep, og pengene tjenes i et partnernettverk. Løsepengene fordeles mellom LockBit-utviklerteamet og partnerne som utfører angrepet, som får opptil ¾ av løsepengene.
Flere kjennere regner løsepengeviruset LockBit som del av «LockerGoga & MegaCortex»-familien av skadelig programvare. I praksis betyr det at viruset deler atferdsmønster med disse kjente formene for målrettede løsepengevirus. Kort sagt kjennetegnes disse angrepene ved at de
Det mest iøynefallende er evnen til å spre seg automatisk, helt på egen hånd. LockBit er programmert til å styres av forhåndsutviklede automatiserte prosesser. Dette gjør det unikt sammenlignet med mange andre løsepengevirus, som styres manuelt i nettverket – enkelte ganger i ukevis – for å gjennomføre rekognosering og overvåking.
Når angriperen manuelt har infisert én enkelt vert, kan den finne andre tilgjengelige verter, koble dem til de infiserte vertene og dele infeksjonen ved hjelp av et skript. Dette gjennomføres og gjentas helt uten menneskelig inngripen.
Viruset benytter seg i tillegg av verktøy som bruker mønstre som er felles for nesten alle Windows-datasystemer. Systemer for endepunktsikkerhet har en vanskelig jobb med å skille ut den skadelige aktiviteten. Den kjørbare krypteringsfilen skjules også ved at den utgir seg for å være en vanlig PNG-bildefil, slik at systemets forsvar settes ytterligere på prøve.
LockBit-angrep kan grovt deles inn i tre trinn:
Trinn 1: Utnytte svakheter i et nettverk. Det første angrepet minner mye om andre skadelige angrep. En organisasjon kan utnyttes av sosial manipulasjon-taktikker som phishing, der angriperne gir seg ut for å være pålitelige personer eller myndigheter som ber om påloggingsinformasjon. Like aktuelt er bruken av direkte angrep på en organisasjons intranettservere og nettverkssystemer. Uten ordentlig nettverkskonfigurasjon kan forberedelsene til angrepet være unnagjort på få dager.
Når LockBit har fått innpass i nettverket, forbereder løsepengeviruset systemet på å slippe krypteringsfilene løs på alle enheter det kan nå. En angriper kan imidlertid være nødt til å fullføre et par ekstra trinn før vedkommende kan sette inn nådestøtet.
Trinn 2: Infiltrere dypere for å gjennomføre forberedelsene til angrepet. Fra nå av er det selve LockBit-programmet som uavhengig styrer all aktivitet. Det er programmert til å bruke noe som kalles Post-Exploitation-verktøy («etter utnyttelse») for å få rettigheter til å oppnå et angrepsklart tilgangsnivå. Det går også gjennom tilgang som allerede er tilgjengelig via lateral bevegelse for å undersøke målets egnethet.
Det er i dette trinnet at LockBit utfører eventuelle klargjøringshandlinger før det distribuerer krypteringsdelen av løsepengeviruset. Dette omfatter å deaktivere sikkerhetsprogrammer og annen infrastruktur som kan brukes til å gjenopprette systemet.
Målet med infiltrasjonen er å gjøre en gjenoppretting uten hjelp umulig, eller så tregt at man gir etter for angriperens løsepengekrav som den eneste praktiske løsningen. Når ofrene er desperate etter å få alt tilbake til normal drift, er de ofte villige til å betale løsepengene.
Trinn 3: Distribuere krypteringsfilene. Når nettverket har blitt klargjort for at LockBit kan bli fullt ut mobilisert, begynner løsepengeviruset å spre seg til alle maskiner det kan nå. Som nevnt tidligere trenger ikke LockBit mye for å fullføre dette trinnet. Én enkelt systemenhet med høy tilgjengelighet kan gi kommandoer til andre nettverksenheter om å laste ned og kjøre LockBit.
Krypteringsdelen plasserer en «lås» på alle systemfilene. Ofrene kan bare låse opp systemet ved hjelp av en nøkkel som ble opprettet av LockBits egne krypteringsverktøy. Prosessen legger også igjen en kopi av en enkel løsepengebeskjed i form av en tekstfil i hver mappe i systemet. Her får offeret instruksjoner om hvordan systemet kan gjenopprettes, og enkelte LockBit-versjoner har også inkludert trusselmeldinger.
Når alle trinnene er gjennomført, er de neste trinnene opp til ofrene. De kan bestemme seg for å kontakte LockBit-kontakten og betale løsepengene. Det anbefales imidlertid ikke å følge kravene. Ofrene har ingen garanti for at angriperne vil følge opp sin del av avtalen.
LockBit er den nyeste løsepengetrusselen, og den kan være svært bekymringsfull. Vi kan ikke utelukke muligheten for at den kan få innpass i flere ulike bransjer og organisasjoner, ikke minst med tanke på den økte hjemmekontorbruken. Hvis du kjenner igjen ulike LockBit-varianter, vet du bedre hva du har med å gjøre.
Originalversjonen av LockBit gir filer den nye filtypen «.abcd». Den inneholder også en løsepengetekst med krav og instruksjoner om påstått gjenoppretting i filen «Restore-My-Files.txt», som har blitt satt inn i alle mappene.
Den andre kjente versjonen av dette løsepengeviruset brukte filtypen «.LockBit», som det også er kjent som i dag. For ofrene er imidlertid dette viruset i praksis nærmest identisk med den første versjonen, til tross for enkelte backend-endringer.
Den neste LockBit-versjonen som ble identifisert, krever ikke lenger at man laster ned nettleseren Tor i løsepengeinstruksjonene. I stedet sender den ofrene til et alternativt nettsted via tradisjonell Internett-tilgang.
I det siste har LockBit fått flere skadelige funksjoner, blant annet deaktivering av administrative tilgangssjekkpunkter. LockBit deaktiverer nå sikkerhetsvarslene som kan vises når et program forsøker å kjøre som administrator.
Den skadelige programvaren stjeler nå også kopier av serverdataene og inneholder i tillegg noen ekstra linjer med tekst i løsepengekravet. Dersom offeret ikke følger instruksjonene, truer LockBit nå med offentliggjøring av offerets private data.
Når organisasjonen allerede er infisert, er det ikke nok å fjerne løsepengeviruset LockBit for å få tilgang til filene dine. Du trenger fremdeles et spesifikt verktøy for å gjenopprette systemet, siden krypteringen må låses opp med en «nøkkel». Du kan eventuelt prøve å gjenopprette systemene ved hjelp av en avbildning som er gjort før infeksjonen.
Man er nødt til å iverksette beskyttende tiltak for å sikre at organisasjonen kan stå imot alle angrep med løsepengevirus og annen skadelig aktivitet helt fra starten. Her er noen tiltak som kan bidra til forebyggingen:
Relaterte artikler: