Prilagođeni LockBit 3.0 ransomware

Prilagođeni LockBit 3.0 ransomware je nastao iz nedavnog curenja datoteka za pravljenje ovog zlonamjernog softvera. To je omogućilo zlonamjernim akterima da sada posjeduju alate za kreiranje visoko prilagođenih verzija zlonamjernog softvera, što im olakšava infiltriranje u mreže i uništavanje ciljanih preduzeća.

LockBit 3.0

Prilagođeni LockBit 3.0 ransomware; Source: Bing Image Creator

LOCKBIT RANSOMWARE

LockBit je ransomware porodica koja se prvi put pojavila na sceni oko 2019. godine. Postala je ozloglašena zbog svojih sofisticiranih mogućnosti i agresivnih taktika, što je čini značajnom prijetnjom organizacijama širom sveta. LockBit ransomware poreklo se može pratiti do njegovih prethodnika, kao što su Thanos i MegaCortex ransomware porodice. Ove rane verzije bile su poznate po svom destruktivnom potencijalu, ali su im nedostajale napredne funkcije koje su LockBit učinile zaista opasnom prijetnjom sajber bezbjednosti.

LockBit 1.0 označio je prekretnicu u evoluciji ovog zlonamjernog softvera. Prva verzija je uvela nekoliko inovativnih funkcija kao što su mogućnosti samopropagiranja i eksfiltracija podataka. Ovo je omogućilo ransomware zlonamjernom softveru da se širi po mrežama, šifrujući datoteke na više uređaja bez potrebe za daljim interakcijama od strane napadača.

LockBit 2.0 je donio još više poboljšanja, pa su tu poboljšanja algoritmima za šifrovanje i korisničko okruženje za napadače. Poruka o otkupnini je takođe postala prilagodljiva, omogućavajući zlonamjernim akterima da prilagode poruke na osnovu karakteristika svojih meta. Ova verzija LockBit zlonamjernog softvera je bila odgovorna za nekoliko napada visokog profila na različite industrije, uključujući zdravstvo, obrazovanje i proizvodnju.

Krajem 2021. godine, odnosno početkom 2022. godine, izvorni kôd za LockBit 3.0 ransomware je procurio na mreži, što je dovelo do porasta njegove upotrebe od strane raznih grupa zlonamjernih aktera. Ovo curenje je značajno osnažilo zlonamjerne aktere, jer im je omogućilo da stvaraju veoma prilagodljive verzije zlonamjernog softvera. Sa ovom novootkrivenom fleksibilnošću, zlonamjerni akteri dobijaju mogućnost da prilagode ransomware tako da zaobiđu postojeće zaštite i da povećaju štetu na određenim ciljevima.

 

PRILAGOĐENI LOCKBIT 3.0

LockBit 3.0 alat za izgradnju omogućava zlonamjernim akterima da naprave prilagođene vrste ransomware zlonamjernog softvera u skladu sa njihovim potrebama. Ovaj nivo prilagođavanja čini napade eksponencijalno moćnijim, jer se mogu prilagoditi da iskoriste ranjivosti jedinstvene za svaku ciljnu organizaciju. Posljedice curenja ovog alata za građenje su dalekosežne, jer su zlonamjerni akteri uspeli da naprave verzije koje se šire po mrežama brže i efikasnije, onemogućavajući bezbjednosne sisteme, šifrujući podatke i brišući evidencije događaja da bi sakrili svoje aktivnosti.

 

“Procurjeli alat za izgradnju je značajno pojednostavio proces kreiranja prilagođenih ransomware varijanti. Ovo otvara novi nivo opasnosti, posebno ako napadači mogu da dobiju privilegovane akreditive unutar ciljane mreže.”

Dmitry Bestuzhev, Director of Kaspersky’s Global Research and Analysis Team

 

Prilagođavanjem zlonamjernog softvera specifičnim ciljevima, zlonamjerni akteri mogu povećati njegovu efikasnost i povećati svoju potencijalnu dobit, pa prilagođene verzije LockBit 3.0 ransomware zlonamjernog softvera pokazuju nekoliko zabrinjavajućih mogućnosti. Prvo, prilagođene ransomware varijante omogućavaju zlonamjernim akterima da efikasnije iskoriste jedinstvene ranjivosti u ciljanim sistemima. Oni mogu da koriste alat za izgradnju da konfigurišu opcije koje daju mogućnosti širenja kroz mreže posebno dizajnirane za određena okruženja. To znači da se mogu kretati bočno unutar mreže ciljne organizacije, šifrujući kritične podatke i izazivajući poremećaje u radu.

Pored toga, prilagođene ransomware varijante mogu uključivati namjenske mehanizme za izbjegavanje otkrivanja od strane specifičnog bezbjednog rješenja koje koriste ciljane organizacije. Na primjer, zlonamjerni akteri mogu da onemoguće određene antivirusne alate ili alate za zaštitu krajnjih tačaka koji se obično primjenjuju u ciljnom okruženju. Ovo otežava bezbjednosnim timovima da otkriju napad i reaguju na njega pre nego što se napravi značajna šteta.

Još jedan uticaj prilagođenih ransomware varijanti je potencijal za opsežniju eksfiltraciju podataka. Prilagođavanjem zlonamjernog softvera određenim ciljevima, zlonamjerni akteri se mogu fokusirati na krađu osjetljivih informacija koje bi bile najvrednije za ciljanu organizaciju ili klijente. Ovo može uključivati intelektualnu svojinu, finansijske podatke, podatke o klijentima i druge povjerljive informacije. Prilagođene ransomware varijante mogu takođe uključiti dodatne funkcije dizajnirane da povećaju pritisak na organizacije da plate zahtev za otkupninom. Na primjer, napadači mogu da zaprijete da će objaviti ukradene podatke ako se otkupnina ne plati u određenom vremenskom roku ili da koriste taktiku iznude protiv određenih pojedinaca ili odjeljenja unutar organizacije.

 

“Mogućnost kriminalaca da prilagode ransomware sojeve da zaobiđu postojeće zaštite mijenja igru. Odbrana od ovih naprednih prijetnji zahteva novi način razmišljanja i proaktivne mjere.”

Emily Pycroft, CEO of CyberSec Consultants, London

 

Konačno, prilagođene ransomware varijante takođe mogu dovesti do značajnijih prekida poslovanja i finansijskih gubitaka za ciljane organizacije. Šifrovanjem kritičnih sistema i podataka, zlonamjerni akteri mogu da dovedu do produženog vremena zastoja i gubitka produktivnosti dok bezbjednosni timovi rade na obnavljanju pogođenih sistema iz rezervnih kopija ili na njihovom potpunom obnavljanju. Ovo može dovesti do značajnih troškova vezanih za oporavak podataka, zamjenu sistema i potencijalnu štetu reputaciji napadnute organizacije.

 

ZAKLJUČAK

Prilagođavanje LockBit 3.0 ransomware zlonamjernog softvera predstavlja značajnu prijetnju za organizacije zbog svoje sposobnosti da zaobiđe odbranu organizacije i izazove maksimalnu štetu. Curenje LockBit 3.0 ransomware alata za izgradnju je olakšalo zlonamjernim akterima da kreiraju dobro prilagođene verzije zlonamjernog softvera, omogućavajući im da prilagode svoje napade na određene ciljeve sa većom efikasnošću. Korišćenje konfiguracione datoteke omogućava napadačima da aktiviraju različite funkcije kao što su lažni identifikatori, šifrovanje mrežnih diskova, onemogućavanje bezbjednih sistema i širenje kroz mreže. Ovaj nivo prilagođavanja otežava organizacijama da otkriju i spriječe ove napade, posebno ako napadači uspiju da dobiju privilegovane akreditive unutar ciljane mreže.

Nalazi istraživanja kompanije Kaspersky Lab naglašavaju potrebu da organizacije usvoje proaktivan pristup sajber bezbjednosti i investiraju u napredna rješenja za otkrivanje prijetnji i reagovanje. Brza akcija može biti neophodna kako bi korisnici i organizacije bili ispred ovih prijetnji koje se razvijaju, jer mogućnost kreiranja prilagođenih ransomware varijanti značajno povećava opasnost koju predstavljaju zlonamjerni akteri. Lakoća sa kojom napadači mogu da generišu prilagođene verzije zlonamjernog softvera koristeći objavljene datoteke omogućava im da izbjegnu odbranu organizacije i izazovu maksimalnu štetu. Zbog toga, organizacije moraju biti proaktivne u svom pristupu sajber bezbjednosti, ulažući u napredna rješenja za otkrivanje prijetnji i reagovanje kako bi bile ispred ovih prijetnji koje se razvijaju.

 

ZAŠTITA

Posmatrajući trenutni razvoj događaja, preporučuje se da organizacije preduzmu proaktivne mjere kako bi poboljšale svoje odbrambene mehanizme protiv prilagođenih LockBit ransomware napada. U nastavku nekoliko predloženih koraka kao mjera poboljšanja zaštite:

  1. Potrebno je implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve kritične sisteme i aplikacije. Autentifikaciju u više koraka dodaje dodatni nivo bezbjednosti zahvaljujući od korisnika da obezbijede dva ili više oblika identifikacije pre pristupa osjetljivim podacima, što otežava napadačima da steknu neovlašteni pristup,
  2. Uvijek instalirati dostupne ispravke i ažuriranja za sve softverske i hardverske komponente. Održavanje sistema ažurnim je ključno za sprečavanje eksploatacije poznatih ranjivosti od strane zlonamjernih aktera,
  3. Primjenjivati stroge politike korištenja akreditiva, kao što je primjena jakih lozinki, redovno rotiranje akreditiva i primjena kontrole pristupa za ograničavanje obima privilegovanih naloga,
  4. Investirati u napredna rješenja za otkrivanje prijetnji koja mogu da identifikuju i reaguju na prilagođene ransomware napade prije nego što izazovu značajnu štetu. Ovi alati bi trebalo da budu u stanju da analiziraju obrasce mrežnog saobraćaja, otkriju zlonamjerno ponašanje i obezbijede upozorenja u realnom vremenu za potencijalne prijetnje,
  5. Redovno praviti rezervne kopije kritičnih podataka i osigurati da su rezervne kopije bezbjedno uskladištene van lokacije ili u okruženju u oblaku gdje napadaču neće biti lako dostupne. U slučaju infekcije, nedavne rezervne kopije mogu pomoći da se smanji vreme zastoja i smanji uticaj na poslovanje organizacije,
  6. Sprovoditi redovnu obuku za podizanje svesti o bezbjednosti za zaposlene kako bi bili edukovani o najnovijim prijetnjama i najboljim praksama da ostanu bezbjedni na mreži. Ovo uključuje podučavanje kako da identifikuju elektronsku poštu za krađu identiteta, izbjegavaju klikanje na sumnjive veze ili preuzimanje neprovjerenih priloga i da odmah prijave sve potencijalne bezbjednosne incidente,
  7. Uspostaviti plan odgovora na sajber prijetnju koji opisuje jasne korake za reagovanje na ransomware napad. Ovo bi trebalo da uključuje procedure za izolovanje zaraženih sistema, komunikaciju sa zainteresovanim stranama, angažovanje spoljnih stručnjaka ako je potrebno i vraćanje podataka iz rezervnih kopija nakon što je prijetnja neutralisana,
  8. Razmisliti o primjeni politika segmentacije mreže ili mrežnog modela sa nultim povjerenjem (eng. Zero-Trust model) kako bi se ograničilo širenje zlonamjernog softvera unutar infrastrukture organizacije. Ograničavanjem bočnog kretanja i izolacijom kritičnih sistema može se umanjiti šteta uzrokovana ransomware napadom,
  9. Redovan pregled i ažuriranje bezbjednosne politike i procedura kako bi se osiguralo da su efikasne protiv novih prijetnji kao što je prilagođeni LockBit ransomware. Ovo može uključivati rad sa stručnjacima za sajber bezbjednost ili industrijskim organizacijama u cilju informisanosti o najnovijim trendovima i najboljim praksama u odbrani od zlonamjernih prijetnji.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.