LockBit Ransomware 5.0

AUTOR ·

Najnovija verzija LockBit 5.0 ucjenjivačkog softvera prepoznata je kao jedna od najopasnijih prijetnji koje trenutno kruže, pokazuje istraživanje sigurnosnih stručnjaka kompanije Acronis. Autori ovog zlonamjernog softvera koriste napredne tehnike izbjegavanja koje su čak i iskusne stručnjake za sajber bezbjednost stavile pred izazov da održe korak.

LockBit 5.0

LockBit Ransomware 5.0; Source: Bing Image Creator

LOCKBIT RANSOMWARE

Pojava naprednih varijanti zlonamjernog softvera uvijek donosi velike izazove stručnjacima za sajber bezbjednost, koji su zaduženi da štite organizacije od sve složenijih prijetnji. Porodica ucjenjivačkog softvera (eng. ransomware) LockBit nije izuzetak, jer se tokom vremena razvijala i uključila nove mogućnosti koje zlonamjernim akterima omogućavaju da ciljaju više platformi u okviru jednog koordinisanog napada.

Najnovija verzija, LockBit 5.0, predstavlja značajan iskorak u razvoju, budući da podržava napade na Windows, Linux i VMware ESXi sisteme. Podrška za više platformi koju nudi LockBit 5.0 ima ogroman značaj, jer proširivanjem dometa na različite operativne sisteme zlonamjerni akteri povećavaju šanse da probiju odbranu organizacije. Ovo je naročito zabrinjavajuće za one koje se oslanjaju na raznovrsnu IT infrastrukturu, jer im održavanje adekvatnih mjera bezbjednosti na svim platformama postaje znatno teže.

Porodica LockBit već duže vrijeme zauzima važno mjesto u svijetu prijetnji, a ranije verzije pokazale su stalno usavršavanje svojih mogućnosti i tehnika izbjegavanja. Ipak, pojava LockBit 5.0 označava prekretnicu u toj evoluciji, jer predstavlja usmjereni napor zlonamjernih aktera da razviju napredniji zlonamjerni softver sposoban da efikasno izbjegne otkrivanje.

 

Windows varijanta

Windows varijanta LockBit 5.0 koristi napredne tehnike izbjegavanja odbrane, među kojima su mehanizmi za zamagljivanje i anti-analizu osmišljeni da zaobiđu alate za detekciju i ometaju sisteme za praćenje. Ove taktike omogućavaju zlonamjernim akterima da izbjegnu tradicionalne mjere bezbjednosti i održe visok nivo prikrivenosti u ugroženim okruženjima.

Zamagljivanje predstavlja ključnu komponentu strategije izbjegavanja odbrane Windows varijante, jer omogućava zlonamjernim akterima da sakriju zlonamjerni kôd ili korisne terete od alata za detekciju. Primjenom različitih tehnika, poput šifrovanja, kompresije ili manipulacije kôdom, LockBit 5.0 može efikasno da prikrije svoje prisustvo i izbjegne pokretanje bezbjednosnih upozorenja.

Mehanizmi anti-analize dodatno jačaju prikrivenost Windows varijante tako što ometaju sisteme za praćenje i otežavaju braniocima da analiziraju ponašanje zlonamjernog softvera. Na taj način zlonamjerni akteri zadržavaju kontrolu nad ugroženim okruženjima, dok istovremeno smanjuju svoju vidljivost.

Primjena ovih tehnika naglašava naprednost LockBit 5.0 kao operacije ucjenjivačkog softvera kao usluge (eng. ransomware-as-a-service – RaaS). Uključivanjem takvih mogućnosti, zlonamjerni akteri pokazuju duboko razumijevanje principa sajber bezbjednosti i sposobnost da ih iskoriste u zlonamjerne svrhe.

Pored zamagljivanja i anti-analize, Windows varijanta može koristiti i druge taktike osmišljene da izbjegnu otkrivanje ili ometaju sisteme za praćenje. To obuhvata tehnike poput ubrizgavanja kôda, ubacivanja zlonamjernog kôda u legitimne procese (eng. process hollowing) ili povezivanja sa API okruženjem, sve sa ciljem održavanja niskog profila u ugroženim sistemima.

 

Verzije za Linux i ESXi

Verzije LockBit 5.0 ucjenjivačkog softvera za Linux i ESXi osmišljene su da ciljaju kritičnu infrastrukturu i virtuelne mašine, omogućavajući zlonamjernim akterima da šifruju više radnih opterećenja odjednom i izazovu široko rasprostranjene poremećaje u radu. Ovakav pristup pokazuje koliki potencijal za štetu može nastati kao posljedica jednog uspješnog napada na ove platforme.

Kritična infrastruktura je naročito ranjiva na napade koje omogućava verzija LockBit 5.0 za Linux. Ciljanjem takvih sistema, zlonamjerni akteri mogu doći do osjetljivih informacija, poremetiti osnovne usluge ili čak držati cijele organizacije kao taoce zahtjevima za otkup.

Funkcionalnost usmjerena na ESXi u okviru verzija LockBit 5.0 posebno zabrinjava zbog sposobnosti da istovremeno utiče na veliki broj virtuelnih mašina. Ugrožavanje jednog hipervizora može imati dalekosežne posljedice po ukupno bezbjednosno stanje organizacije, jer zlonamjerni akteri dobijaju pristup osjetljivim podacima uskladištenim na više radnih opterećenja.

Mogućnosti šifrovanja koje koristi LockBit 5.0 za Linux i ESXi dodatno otežavaju napore oporavka nakon napada. Primjenom jakih rutina šifrovanja i dodavanjem datoteka sa nasumičnim ekstenzijama, zlonamjerni akteri znatno otežavaju braniocima oporavak bez bezbjednih rezervnih kopija.

Pored usmjerenosti na kritičnu infrastrukturu i virtuelne mašine, verzije za Linux i ESXi mogu koristiti i druge taktike da povećaju svoj uticaj u ugroženim okruženjima. To obuhvata tehnike poput bočnog kretanja, povećanja privilegija ili krađe podataka, sve sa ciljem da se pojača šteta izazvana jednim uspješnim napadom.

 

Rutine šifrovanja

Sigurnosni istraživači primijetili su da LockBit 5.0 koristi istu šemu šifrovanja kao i prethodne verzije: XChaCha20 za simetrično i Curve25519 za asimetrično šifrovanje, dok broj niti zavisi od broja logičkih procesora. Glavna nit pretražuje direktorijume, pravi spisak datoteka i u svaku dodaje poruku o otkupu, dok zasebne niti obrađuju datoteke. Svaka datoteka dobija nasumičnu ekstenziju, a na kraj se dodaje blok podataka sa originalnom veličinom, razdvajačem i šifrovanim ključem, što omogućava prepoznavanje već obrađenih datoteka.

Na Windows sistemima, nakon šifrovanja, program izvodi dodatne korake radi prikrivanja tragova. Onemogućava praćenje događaja mijenjanjem funkcije EtwEventWrite, briše sistemske dnevnike i može prikazivati napredak šifrovanja. Samobrisanje se obavlja promjenom sopstvenog imena u nasumičan niz i zatim brisanjem datoteke. Korištenjem određenog parametra u procesu Defrag.exe stvara se privremena datoteka u koju se upisuju nule dok se ne popuni slobodan prostor, čime se briše slobodan prostor.

Na ESXi i Linux sistemima osnovna logika ostaje ista, ali postoje dodatni mehanizmi usmjereni na virtuelne mašine. Program pretražuje direktorijum “/vmfs/” gdje se nalaze datoteke mašina i može ih zaustaviti kako bi se omogućilo nesmetano šifrovanje. Ova funkcija se može isključiti argumentom, a postoji i mogućnost da preskače šifrovanje određenih mašina na osnovu ID broja. Nakon završetka procesa, kao i na Windows varijanti, vrši se brisanje slobodnog prostora upisivanjem nula, ali se ovdje dodatno prikazuje i sažetak šifrovanja.

Bez obzira na platformu, LockBit 5.0 koristi istu poruku o otkupu, pri čemu se razlikuje samo identifikacioni broj žrtve. Time se potvrđuje da je osnovna šema šifrovanja jedinstvena, dok se dodatne funkcije prilagođavaju okruženju: na Windows varijanti naglasak je na prikrivanju tragova i otežavanju analiza, dok je na ESXi i Linux sistemima fokus na onesposobljavanju virtuelnih mašina radi potpunog šifrovanja podataka.

 

Korištenje SmokeLoader infrastrukture

Sigurnosni istraživači su otkrili da LockBit koristi infrastrukturu povezanu sa SmokeLoader zlonamjernim softverom, što ukazuje na preuzimanje ili iznajmljivanje već postojećih resursa. SmokeLoader je ranije bio poznat kao alat za ubacivanje drugih zlonamjernih softvera, a njegovi serveri korišteni su u različitim kampanjama. Kada se LockBit oslonio na isti sistem, otvorila se mogućnost da se bolje razumije način na koji se grupe oslanjaju na zajedničke resurse radi održavanja svojih operacija i prikrivanja tragova.

Posebno je značajno što SmokeLoader ne koristi statične IP adrese, već se oslanja na URL koji se razrješava tokom izvršavanja. Ovakav pristup omogućava brzu promjenu servera i otežava praćenje od strane bezbjednosnih timova. Kada LockBit primjenjuje isti mehanizam, dobija fleksibilnost i otpornost, jer se uklapa u postojeću infrastrukturu i lakše se skriva od otkrivanja. Time se pokazuje da je dinamičko razrješavanje adresa postalo ključni element u održavanju zlonamjernih operacija.

Veza između LockBit ucjenjivačkog softvera i SmokeLoader alata za ubacivanje drugih zlonamjernih softvera potvrđuje da različite grupe u podzemnim mrežama često sarađuju ili razmjenjuju resurse. Takva praksa im omogućava da opstanu i nakon što se dio njihove mreže otkrije, jer zajednička infrastruktura pruža dodatnu otpornost i mogućnost brzog prilagođavanja.

 

Ciljanje

LockBit 5.0 varijanta ucjenjivačkog softvera cilja širok spektar sektora, sa posebnim naglaskom na poslovni sektor u Sjedinjenim Američkim Državama. Žrtve uključuju privatne kompanije, vladine agencije, obrazovne institucije i zdravstvene organizacije.

Razmjera dometa LockBit ucjenjivačkog softvera je zapanjujuća. Prema LockBit internet lokaciji za objavljivanje podataka, više od 60 žrtava bilo je navedeno u vrijeme analize ove varijante, sa značajnim brojem napada krajem 2025. godine. To pokazuje da je zlonamjerni softver bio veoma aktivan tokom tog perioda, iskorištavajući ranjivosti i ugrožavajući osjetljive informacije u neviđenim razmjerama.

Posebno zabrinjava činjenica da su i vladine agencije postale žrtve LockBit napada. Ove organizacije se obično smatraju metama visokog nivoa bezbjednosti zbog pristupa povjerljivim informacijama i primjene naprednih mjera sajber zaštite. Njihovo prisustvo među žrtvama zlonamjernog softvera pokazuje koliko je LockBit prilagodio svoju taktiku, čineći je prijetnjom čak i za okruženja koja se smatraju bezbjednim.

Obrazovni sektor takođe je ranjiv na LockBit napade, jer su institucije pogođene zajedno sa privatnim kompanijama i vladinim agencijama. Ovo je posebno uznemirujuće s obzirom na to da se mnoge od ovih organizacija oslanjaju na osjetljive podatke o studentima i intelektualnu svojinu. Posljedice takvih napada mogu biti ozbiljne, uključujući štetu po reputaciju, finansijske gubitke, pa čak i fizičke povrede.

Uprkos naporima organa za sprovođenje zakona da poremete njihovo djelovanje, LockBit grupa nastavlja da jača. Njihova sposobnost da izbjegnu otkrivanje i održe snažno digitalno prisustvo svjedoči o njihovoj snazi kao grupe za sajber kriminal.

 

UTICAJ

LockBit 5.0 uticaj se ogleda u tome što briše granice između različitih slojeva IT infrastrukture. Njegova sposobnost da istovremeno zahvati Windows, Linux i ESXi sisteme znači da napad više nije ograničen na jedan segment, već se širi kroz cijelu mrežu. Time se mijenja priroda odbrane: organizacije se suočavaju sa prijetnjom koja paralizuje osnovne usluge i virtuelne mašine, dok istovremeno ugrožava radne stanice i serverske okvire. Jedan napad može imati domino efekat na sve ključne komponente poslovanja.

Produženo vrijeme prikrivenosti koje LockBit 5.0 postiže kroz zamagljivanje i anti-analizu direktno utiče na sposobnost organizacija da reaguju. Branioci ostaju bez pouzdanih signala, dok zlonamjerni akteri razvijaju kontrolu nad ugroženim okruženjem. Šteta se ne širi samo kroz šifrovanje podataka, već i kroz gubitak povjerenja u sopstvene mehanizme zaštite. Posljedica je produženo trajanje krize i povećana nesigurnost u procjeni obima napada.

Rutine šifrovanja koje LockBit 5.0 koristi dodatno pojačavaju njegov uticaj, jer otežavaju oporavak i produžavaju prekid rada. Dodavanje nasumičnih ekstenzija i brisanje tragova stvaraju sloj nesigurnosti koji braniocima oduzima mogućnost da precizno rekonstruišu događaje. Organizacije tako ne gube samo podatke, već i sposobnost da razumiju šta se dogodilo, što povećava troškove i produžava vrijeme oporavka.

Korištenje infrastrukture povezane sa SmokeLoader softverom pokazuje da uticaj LockBit 5.0 prevazilazi tehnički nivo i ulazi u sferu organizovanja zlonamjernih operacija. Dinamičko razrješavanje adresa i oslanjanje na zajedničke resurse otežavaju praćenje i neutralisanje, dok saradnja u podzemnim mrežama jača otpornost zlonamjernih aktera. Uticaj se tu vidi u trajnosti prijetnje: čak i kada se dio infrastrukture otkrije, LockBit 5.0 nastavlja da funkcioniše kroz alternativne kanale, čime se povećava dugoročna opasnost po bezbjednosni pejzaž.

 

ZAKLJUČAK

LockBit 5.0 se izdvaja kao primjer ucjenjivačkog softvera koji se razvija u pravcu sve veće složenosti. Njegova sposobnost da zahvati Windows, Linux i ESXi sisteme pokazuje da napadi više nisu ograničeni na jedan segment, već se šire kroz različite slojeve infrastrukture. Time se otvara prostor za šire djelovanje i povećava obim štete.

Metode prikrivanja dodatno naglašavaju ovu prijetnju. Zamagljivanje, anti-analiza i ubacivanje kôda u legitimne procese otežavaju otkrivanje i omogućavaju zlonamjernim akterima da zadrže kontrolu nad okruženjem. Na Windows sistemima brišu se dnevnici i tragovi, dok se na Linux i ESXi platformama napad usmjerava na zaustavljanje virtuelnih mašina kako bi se omogućilo potpuno šifrovanje.

Rutine šifrovanja zasnovane na XChaCha20 i Curve25519 potvrđuju kontinuitet u razvoju porodice LockBit. Dodavanje nasumičnih ekstenzija i brisanje slobodnog prostora upisivanjem nula otežavaju oporavak podataka i smanjuju mogućnost precizne analize. Na svim platformama koristi se jedinstvena poruka o otkupu, što ukazuje na centralizovan pristup i jasno definisan način rada.

Povezanost sa infrastrukturom SmokeLoader softvera pokazuje da LockBit 5.0 ne djeluje samostalno. Dinamičko razrješavanje adresa i oslanjanje na zajedničke resurse omogućavaju mu da se uklopi u postojeće sisteme i da se teže prati. Ovakva mrežna povezanost ukazuje na saradnju zlonamjernih grupa koje razmjenjuju resurse radi održavanja kontinuiteta svojih aktivnosti.

Zbog svega navedenog LockBit 5.0 prevazilazi okvire običnog zlonamjernog softvera. On postaje dio šire mreže u kojoj se tehničke mogućnosti i organizaciona povezanost spajaju u jedinstvenu prijetnju. Kombinacija naprednih metoda prikrivanja, snažnih rutina šifrovanja i oslanjanja na podzemnu infrastrukturu čini ga jednim od najznačajnijih primjera savremenog ucjenjivačkog softvera.

 

PREPORUKE

Za zaštitu od LockBit 5.0 ucjenjivačkog softvera potrebno je uspostaviti snažne sigurnosne mjere, obučiti zaposlene da prepoznaju prijetnje i redovno pratiti znakove sumnjivih aktivnosti. U nastavku slijede preporuke koje mogu pomoći u smanjenju rizika i jačanju otpornosti sistema:

  1. Organizacije treba da primjenjuju više slojeva bezbjednosti kako bi spriječile početni pristup zlonamjernih aktera. Ovo uključuje segmentaciju mreže, rješenja za otkrivanje i reagovanje na prijetnje na krajnjim uređajima, blagovremeno upravljanje ispravkama i rezervne kopije van mreže.
  2. Osigurati da se svi kritični podaci redovno kopiraju na bezbjednu lokaciju izvan mreže. Ovo sprječava zlonamjerne aktere da šifruju ili obrišu važne datoteke i omogućava brzi oporavak ako dođe do napada. Učestalost pravljenja kopija treba da se odredi prema potrebama poslovanja, ali idealno svakodnevno ili sedmično.
  3. Segmentirati mreže na manje segmente sa ograničenim pristupom između njih kako bi se ograničilo bočno kretanje u slučaju napada. Ovo otežava zlonamjernim akterima širenje zlonamjernog softvera kroz mrežu, smanjujući štetu izazvanu napadom poput LockBit 5.0 ucjenjivačkog softvera.
  4. Primjenjivati softvere za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR) koji mogu u stvarnom vremenu otkriti i reagovati na prijetnje na krajnjim uređajima. Ova rješenja treba da prepoznaju sumnjive aktivnosti na uređajima poput laptopa ili desktop računara, omogućavajući brzu reakciju protiv potencijalnih napada prije nego što prerastu u potpune infekcije zlonamjenrim softverom poput LockBit 5.0 ucjenjivačkog softvera.
  5. Sprovesti edukaciju zaposlenih o bezbjednosnim prijetnjama i načinima njihove prevencije. Ovo uključuje kampanje phishing napada gdje zlonamjerni akteri pokušavaju da prevare korisnike da instaliraju zlonamjerni softver ili otkriju osjetljive informacije, što je čest ulazni put za napade poput LockBit 5.0 ucjenjivačkog softvera.
  6. Redovno pratiti sisteme radi sumnjivog ponašanja procesa, neočekivanih aktivnosti šifrovanja datoteka i pokušaja isključivanja mehanizama za vođenje bezbjednosnih evidencija. Ovi znakovi mogu ukazivati da je napad u toku, omogućavajući brzu reakciju prije nego što nastane značajna šteta kao u slučaju napada iznude LockBit 5.0 ucjenjivačkog softvera.
  7. Osigurati da se sve ispravke operativnih sistema primjenjuju odmah nakon objavljivanja od strane proizvođača. Ovo uključuje ne samo Windows, već i Linux i ESXi sisteme koje cilja LockBit 5.0, kako bi se spriječilo iskorištavanje poznatih ranjivosti u softveru.
  8. Kada se podaci prenose između lokacija ili preko interneta, koristiti bezbjedne protokole poput HTTPS umjesto HTTP. Ovo šifruje podatke tokom prenosa i sprječava njihovo presretanje od strane zlonamjernih aktera koji mogu pratiti mrežni saobraćaj i tražiti ranjivosti u nezaštićenim vezama.
  9. Primjenjivati stroge kontrole pristupa koje ograničavaju privilegije korisnika na osnovu radnih uloga ili funkcija u organizaciji. Ovo uključuje ograničavanje administratorskih prava samo na one korisnike kojima su zaista potrebna, smanjujući rizik da zlonamjerni akteri eskaliraju privilegije i izazovu veliku štetu kao u napadima LockBit 5.0 ucjenjivačkog softvera.
  10. Koristiti jake lozinke za sve naloge, uključujući administratorske, koje se redovno mijenjaju (idealno svakih 60 dana). Primjenjivati provjeru identiteta u više koraka (eng. multi-factor authentication – MFA) gdje je moguće, dodajući dodatni sloj zaštite protiv napada grubom silom (eng. brute force attack) od strane zlonamjernih aktera koji žele neovlašten pristup.
  11. Koristiti bezbjedne komunikacione kanale poput šifrovanih servisa za elektronsku poštu ili aplikacija za razmjenu poruka sa potpunim šifrovanjem kada se raspravlja o osjetljivim informacijama preko interneta.
  12. Razviti i primjenjivati plan odgovora na sajber prijetnje u slučaju napada poput LockBit 5.0 ucjenjivačkog softvera. Ovo uključuje procedure za ograničavanje, uklanjanje, oporavak i aktivnosti nakon incidenta koje pomažu da se smanji uticaj na poslovne operacije uz brzu reakciju protiv potencijalnih prijetnji.
  13. Redovno pregledati i ažurirati bezbjednosne politike na osnovu najnovijih prijetnji poput LockBit 5.0 kako bi ostale efikasne protiv razvijajućih sajber rizika u organizaciji, uključujući obuku zaposlenih koja pokriva nove vektore napada poput phishing kampanja koje koriste zlonamjerni akteri u LockBit 5.0 napadu.
  14. Kontinuirano pratiti sisteme radi znakova sumnjive aktivnosti poput neočekivanih pokušaja šifrovanja datoteka, anomalija u ponašanju procesa i manipulacije mehanizmima za vođenje bezbjednosnih evidencija, što može ukazivati na tekući proboj ili potencijalnu prijetnju od zlonamjernog softvera poput LockBit 5.0 koji se može širiti mrežom neprimijećen ako se ne otkrije na vrijeme.
  15. Koristiti bezbjedne protokole (npr. SSH) prilikom udaljenog pristupa sistemima kako bi se spriječilo presretanje osjetljivih informacija od strane zlonamjernih aktera koji mogu presresti sesije udaljenog pristupa i iskoristiti ranjivosti u nezaštićenim vezama tokom napada LockBit 5.0 ucjenjivačkog softvera.
  16. Primjenjivati alate za prevenciju gubitka podataka koji mogu otkriti i blokirati neovlašten prenos ili skladištenje osjetljivih podataka van organizacije, smanjujući izloženost u slučaju napada poput LockBit 5.0 gdje zlonamjerni akteri mogu pokušati da ukradu vrijedne informacije radi finansijske koristi.
  17. Redovno testirati bezbjednosne kontrole poput zaštitnih zidova, sistema za otkrivanje upada (eng. intrusion detection systems – IDS) i softvera za detekciju i odgovor na prijetnje (EDR) protiv različitih scenarija, uključujući one koji imitiraju potencijalne prijetnje od zlonamjernog softvera poput LockBit 5.0, kako bi se osiguralo da ostanu efikasni u otkrivanju i reagovanju na nove sajber rizike u organizaciji.
  18. Biti informisan o najnovijim prijetnjama u nastajanju kao što su nove varijante ucjenjivačkog softvera (npr. LockBit 6) koji mogu ciljati određene sisteme, aplikacije ili ranjivosti koje još nisu obuhvaćene bezbjednosnim ispravkama od strane proizvođača, ali se iskorištavaju u stvarnim napadima poput onih izazvanih LockBit 5.0 ucjenjivačkim softverom.

Zaštita od ucjenjivačkog napada LockBit 5.0 zahtijeva sveobuhvatan pristup koji podrazumijeva implementirati snažne bezbjednosne kontrole, sprovesti edukaciju zaposlenih o bezbjednosnoj svijesti i redovno pratiti sumnjive aktivnosti. Pridržavanjem ovih preporuka organizacije mogu značajno smanjiti rizik od postajanja žrtvom ovakvih naprednih napada i obezbijediti kontinuitet poslovanja u slučaju da dođe do incidenta.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.