Løsepengeviruset LockBit – det du trenger å vite

Definisjon av LockBit

Løsepengeviruset LockBit er en skadelig programvare som er utviklet for å sperre brukere ute fra datasystemer, og som krever løsepenger for at de skal få tilgang igjen. LockBit går automatisk etter verdifulle mål, der det sprer infeksjonen og krypterer alle tilgjengelige datasystemer i et nettverk. Dette løsepengeviruset brukes til svært målrettede angrep mot bedrifter og andre organisasjoner. LockBit er et egenstyrt nettangrep som LockBit-angriperne har brukt til å true organisasjoner over hele verden med følgende trusler:

• Driftsbrudd der sentrale funksjoner plutselig stopper.
• Utpressing for å oppnå økonomisk vinning.
• Trusler om datatyveri og ulovlig publikasjon dersom offeret ikke betaler.

Hva er løsepengeviruset LockBit?

LockBit er et nytt løsepengevirus i en lang rekke av utpressingsangrep. Viruset gikk tidligere under navnet ABCD, og det har utviklet seg til en unik trussel innenfor løsepengeprogramvare. LockBit tilhører en underklasse av løsepengevirus som kalles kryptovirus, fordi det ber om løsepenger mot dekryptering. Det fokuserer på bedrifter og offentlige organisasjoner fremfor enkeltpersoner.

Angrep med LockBit begynte i september 2019, da det fikk navnet «ABCD-viruset». Kallenavnet fikk det etter filtypen som ble brukt ved kryptering av filene til offeret. Blant tidligere mål finner man blant annet organisasjoner i USA, Kina, India, Indonesia og Ukraina. Også flere land i Europa (Frankrike, Storbritannia, Tyskland) har hatt angrep.

Interessante mål er alle som blir tilstrekkelig hemmet til å gå med på å betale en stor pengesum – og som har ressursene til å betale. Derfor kan man se angrep mot store organisasjoner innenfor alt fra helse til finans. Den automatiserte utvelgelsen ser ut til å med vilje unngå angrep på systemer i Russland og andre land i Samveldet av uavhengige stater. Dette er sannsynligvis for å unngå rettsforfølgelse i disse områdene.

LockBit fungerer nærmest som en betalingstjeneste. Villige personer betaler et innskudd for å få lov til å bruke tilpassede angrep, og pengene tjenes i et partnernettverk. Løsepengene fordeles mellom LockBit-utviklerteamet og partnerne som utfører angrepet, som får opptil ¾ av løsepengene.

Hvordan fungerer løsepengeviruset LockBit?

Flere kjennere regner løsepengeviruset LockBit som del av «LockerGoga & MegaCortex»-familien av skadelig programvare. I praksis betyr det at viruset deler atferdsmønster med disse kjente formene for målrettede løsepengevirus. Kort sagt kjennetegnes disse angrepene ved at de

• er selvspredende innenfor en organisasjon, uten behov for manuell styring
• er målrettede,, i motsetning til å bli spredt tilfeldig som spam
• bruker lignende verktøy for å spre seg, som Windows Powershell og Server Message Block (SMB).

Det mest iøynefallende er evnen til å spre seg automatisk, helt på egen hånd. LockBit er programmert til å styres av forhåndsutviklede automatiserte prosesser. Dette gjør det unikt sammenlignet med mange andre løsepengevirus, som styres manuelt i nettverket – enkelte ganger i ukevis – for å gjennomføre rekognosering og overvåking.

Når angriperen manuelt har infisert én enkelt vert, kan den finne andre tilgjengelige verter, koble dem til de infiserte vertene og dele infeksjonen ved hjelp av et skript. Dette gjennomføres og gjentas helt uten menneskelig inngripen.

Viruset benytter seg i tillegg av verktøy som bruker mønstre som er felles for nesten alle Windows-datasystemer. Systemer for endepunktsikkerhet har en vanskelig jobb med å skille ut den skadelige aktiviteten. Den kjørbare krypteringsfilen skjules også ved at den utgir seg for å være en vanlig PNG-bildefil, slik at systemets forsvar settes ytterligere på prøve.

Trinnene i et LockBit-angrep

LockBit-angrep kan grovt deles inn i tre trinn:

1. Utnyttelse
2. Infiltrasjon
3. Distribuering

Trinn 1: Utnytte svakheter i et nettverk. Det første angrepet minner mye om andre skadelige angrep. En organisasjon kan utnyttes av sosial manipulasjon-taktikker som phishing, der angriperne gir seg ut for å være pålitelige personer eller myndigheter som ber om påloggingsinformasjon. Like aktuelt er bruken av direkte angrep på en organisasjons intranettservere og nettverkssystemer. Uten ordentlig nettverkskonfigurasjon kan forberedelsene til angrepet være unnagjort på få dager.

Når LockBit har fått innpass i nettverket, forbereder løsepengeviruset systemet på å slippe krypteringsfilene løs på alle enheter det kan nå. En angriper kan imidlertid være nødt til å fullføre et par ekstra trinn før vedkommende kan sette inn nådestøtet.

Trinn 2: Infiltrere dypere for å gjennomføre forberedelsene til angrepet. Fra nå av er det selve LockBit-programmet som uavhengig styrer all aktivitet. Det er programmert til å bruke noe som kalles Post-Exploitation-verktøy («etter utnyttelse») for å få rettigheter til å oppnå et angrepsklart tilgangsnivå. Det går også gjennom tilgang som allerede er tilgjengelig via lateral bevegelse for å undersøke målets egnethet.

Det er i dette trinnet at LockBit utfører eventuelle klargjøringshandlinger før det distribuerer krypteringsdelen av løsepengeviruset. Dette omfatter å deaktivere sikkerhetsprogrammer og annen infrastruktur som kan brukes til å gjenopprette systemet.

Målet med infiltrasjonen er å gjøre en gjenoppretting uten hjelp umulig, eller så tregt at man gir etter for angriperens løsepengekrav som den eneste praktiske løsningen. Når ofrene er desperate etter å få alt tilbake til normal drift, er de ofte villige til å betale løsepengene.

Trinn 3: Distribuere krypteringsfilene. Når nettverket har blitt klargjort for at LockBit kan bli fullt ut mobilisert, begynner løsepengeviruset å spre seg til alle maskiner det kan nå. Som nevnt tidligere trenger ikke LockBit mye for å fullføre dette trinnet. Én enkelt systemenhet med høy tilgjengelighet kan gi kommandoer til andre nettverksenheter om å laste ned og kjøre LockBit.

Krypteringsdelen plasserer en «lås» på alle systemfilene. Ofrene kan bare låse opp systemet ved hjelp av en nøkkel som ble opprettet av LockBits egne krypteringsverktøy. Prosessen legger også igjen en kopi av en enkel løsepengebeskjed i form av en tekstfil i hver mappe i systemet. Her får offeret instruksjoner om hvordan systemet kan gjenopprettes, og enkelte LockBit-versjoner har også inkludert trusselmeldinger.

Når alle trinnene er gjennomført, er de neste trinnene opp til ofrene. De kan bestemme seg for å kontakte LockBit-kontakten og betale løsepengene. Det anbefales imidlertid ikke å følge kravene. Ofrene har ingen garanti for at angriperne vil følge opp sin del av avtalen.

Varianter av LockBit-trusler

LockBit er den nyeste løsepengetrusselen, og den kan være svært bekymringsfull. Vi kan ikke utelukke muligheten for at den kan få innpass i flere ulike bransjer og organisasjoner, ikke minst med tanke på den økte hjemmekontorbruken. Hvis du kjenner igjen ulike LockBit-varianter, vet du bedre hva du har med å gjøre.

Variant 1 — filtypen .abcd

Originalversjonen av LockBit gir filer den nye filtypen «.abcd». Den inneholder også en løsepengetekst med krav og instruksjoner om påstått gjenoppretting i filen «Restore-My-Files.txt», som har blitt satt inn i alle mappene.

Variant 2 —. LockBit-filtype

Den andre kjente versjonen av dette løsepengeviruset brukte filtypen «.LockBit», som det også er kjent som i dag. For ofrene er imidlertid dette viruset i praksis nærmest identisk med den første versjonen, til tross for enkelte backend-endringer.

Variant 3 —. LockBit-versjon 2

Den neste LockBit-versjonen som ble identifisert, krever ikke lenger at man laster ned nettleseren Tor i løsepengeinstruksjonene. I stedet sender den ofrene til et alternativt nettsted via tradisjonell Internett-tilgang.

Stadige oppdateringer og endringer i LockBit

I det siste har LockBit fått flere skadelige funksjoner, blant annet deaktivering av administrative tilgangssjekkpunkter. LockBit deaktiverer nå sikkerhetsvarslene som kan vises når et program forsøker å kjøre som administrator.

Den skadelige programvaren stjeler nå også kopier av serverdataene og inneholder i tillegg noen ekstra linjer med tekst i løsepengekravet. Dersom offeret ikke følger instruksjonene, truer LockBit nå med offentliggjøring av offerets private data.

Fjerning av LockBit og dekryptering

Når organisasjonen allerede er infisert, er det ikke nok å fjerne løsepengeviruset LockBit for å få tilgang til filene dine. Du trenger fremdeles et spesifikt verktøy for å gjenopprette systemet, siden krypteringen må låses opp med en «nøkkel». Du kan eventuelt prøve å gjenopprette systemene ved hjelp av en avbildning som er gjort før infeksjonen.

Beskyttelse mot løsepengeviruset LockBit

Man er nødt til å iverksette beskyttende tiltak for å sikre at organisasjonen kan stå imot alle angrep med løsepengevirus og annen skadelig aktivitet helt fra starten. Her er noen tiltak som kan bidra til forebyggingen:

1. Det bør tas i bruk sterke passord. Mange sikkerhetsbrudd skyldes passord som er altfor lette å gjette, eller passord som er enkle nok til at et algoritmeverktøy kan finne det i løpet av få dager. Sørg for at dere velger sikre passord, for eksempel lange passord med ulike typer tegn, og at dere bruker egne regler for å lage passordfraser.
2. Aktiver flerfaktorautentisering. Hindre direkte angrep ved å legge til flere sikkerhetslag i tillegg til den passordbaserte påloggingen. Innfør tiltak som biometri eller fysisk USB-nøkkelautorisering på alle systemer der det er mulig.
3. Gå gjennom og forenkle tilgang til brukerkontoer. Innfør strengere nivåer for tilgang for å unngå at potensielle trusler forblir uoppdaget. Vær spesielt oppmerksom på systemer der endepunktbrukere og IT-kontoer med administratortillatelser har tilgang. Webdomener, samarbeidsplattformer, nettmøtetjenester og bedriftens databaser må være sikret.
4. Slett utdaterte og ubrukte brukerkontoer. Enkelte eldre systemer kan inneholde kontoer fra tidligere ansatte som ikke har blitt deaktivert og lukket. En kontroll av systemene bør omfatte fjerning av slike potensielle svake punkter.
5. Sørg for at systemkonfigurasjonen følger alle sikkerhetsprosedyrer. Dette kan ta tid, men en kontroll av eksisterende konfigurasjoner kan avsløre nye problemer og utdaterte retningslinjer som gjør organisasjonen sårbar for angrep. Standard driftsprosedyrer må gjennomgås regelmessig for å holde dere oppdatert mot nye nettrusler.
6. Ha alltid fullstendige systemsikkerhetskopier og rene avbildninger av lokale maskiner klare. Sikkerhetshendelser skjer stadig, og den eneste beskyttelsen mot permanent datatap er å ha en frakoblet kopi. Organisasjonen din bør regelmessig ta sikkerhetskopier for å holde seg oppdatert om viktige endringer i systemene. I tilfelle en sikkerhetskopi blir infisert av skadelig programvare, kan det være lurt å ha flere roterende sikkerhetskopieringspunkter, slik at man alltid kan velge ut en ren periode.

Relaterte artikler:

• Måter hackere kan krenke ditt personvern på
• Hva er et sikkerhetsbrudd?
• Internet of Things Security Threats
• Hva er datakryptering?
• Phishing – en veiledning