LockBit-kiristysohjelma on haitallinen ohjelmisto, joka on suunniteltu estämään käyttäjän pääsy tietokonejärjestelmiin, kunnes hän maksaa lunnassumman. LockBit etsii automaattisesti arvokkaita kohteita, levittää tartuntaa ja salaa kaikki verkon saatavilla olevat tietokonejärjestelmät. Tätä kiristysohjelmaa käytetään tarkasti suunnatuissa hyökkäyksissä yrityksiä ja järjestöjä vastaan. Itsestään ohjautuvalla LockBit-ohjelmalla kyberhyökkääjät ovat uhanneet organisaatioita kautta maailman mm. seuraavilla tavoilla:
LockBit on uusi kiristysohjelma, joka kuuluu pitkään sarjaan rahaa kiristäviä kyberhyökkäyksiä. Aiemmin se tunnettiin ABCD-kiristysohjelmana, joka on sittemmin kasvanut ainutlaatuiseksi kiristysuhaksi. LockBit kuuluu kryptovirusten luokkaan, koska se vaatii rahaa vastapalveluksesi tietojen salauksen poistosta. Se keskittyy pääasiassa yrityksiin ja hallituksen organisaatioihin yksityisihmisten sijaan.
LockBit-hyökkäykset alkoivat alun perin syyskuussa 2019, jolloin sille annettiin nimi ".abcd virus". Nimi viittasi tiedostotunnisteeseen, jota käytettiin uhrin tiedostojen salaamiseen. Merkittäviin uhreihin ovat kuuluneet mm. Yhdysvallat, Kiina, Intia, Indonesia ja Ukraina. Lisäksi moniin Euroopan maihin (Ranskaan, Yhdistyneeseen kuningaskuntaan ja Saksaan) on hyökätty.
Kohteiksi joutuvat organisaatiot, joita häiriö haittaa niin paljon, että he ovat valmiita maksamaan valtavan summan — ja heillä on varaa tehdä niin. Hyökkäykset on kohdistettu aina terveysalan suurista yrityksistä taloudellisiin instituutioihin. Hyökkäyksen automatisoitu järjestelmä näyttää tarkoituksellisesti välttävän hyökkäyksiä Venäläisiin tai itsenäisten valtioiden yhteisön järjestelmiin. Oletettavasti näin halutaan välttää syytteeseenpano kyseisissä maissa.
LockBit toimii "kiristysohjelmapalveluna" (ransomware-as-a-service, Raas). Kiinnostuneet osapuolet maksavat takuusumman käyttääkseen mukautettuja, vuokrattavia hyökkäyksiä ja hyötyvät niistä osana liittoumaa. Lunnasrahat jaetaan LockBitin kehitystiimin ja hyökkäävien liittolaisten kesken, jotka saavat jopa kolme neljäsosaa lunnasrahoista.
Monet viranomaiset uskovat LockBit-kiristysohjelman olevan osa "LockerGoga & MegaCortex" -haittaohjelmaperhettä. Tämä yksinkertaisesti tarkoittaa, että sen käyttäytyminen vastaa näiden kohdistettujen kiristysohjelmien vakiintuneita muotoja. Lyhyesti selitettynä, nämä hyökkäykset ovat:
Merkittävintä on LockBitin kyky levitä itse. LockBitin ohjelmointia ohjaa ennalta suunnitellut automatisoidut prosessit. Sen vuoksi se on ainutlaatuinen moniin muihin kiristysohjelmahyökkäyksiin verrattuna, joita ohjataan verkossa manuaalisesti — joskus jopa viikkoja — valvonnan ja tiedustelun läpäisemiseksi.
Kun hyökkääjä on manuaalisesti tartuttanut yhden isännän, se voi löytää pääsyn muihin isäntiin, yhdistää ne tartunnan saaneisiin ja jakaa tartuntaa koodin avulla. Tämä suoritetaan ja toistetaan täysin ilman ihmisten väliintuloa.
Lisäksi ohjelma käyttää työkaluja malleissa, jotka kuuluvat alkuperäisesti lähes kaikkiin Windows-tietokonejärjestelmiin. Päätepisteiden turvallisuusjärjestelmien on vaikea tunnistaa haitallista toimintaa. Ohjelma myös piilottaa suoritettavan salaustiedoston naamioiden sen tavanomaiseksi .PNG-tiedostoksi, mikä edelleen huijaa puolustusjärjestelmiä.
LockBit-hyökkäykset voidaan jakaa karkeasti kolmeen vaiheeseen:
Vaihe 1: hyväksikäyttää verkon heikkouksia. Alussa tapahtuva murto vaikuttaa samalta, kuin mikä tahansa muukin haitallinen hyökkäys. Organisaatiota vastaan hyökätään sosiaalisen manipuloinnin taktiikoilla, kuten tietojenkalastelulla, jossa hyökkääjät tekeytyvät luotetuksi henkilökunnaksi tai viranomaisiksi, jotka vaativat kirjautumistietoja. Yhtä tavanomaisia ovat väsytysmenetelmähyökkäykset organisaation intranetpalvelimiin ja verkkojärjestelmiin. Jos verkkoa ei ole konfiguroitu asianmukaisesti, hyökkäysyritykset onnistuvat jopa muutaman päivän kuluessa.
Kun LockBit on päässyt verkkoon, lunnasohjelma valmistelee järjestelmää vapauttamaan salaussisällön kaikkiin mahdollisiin laitteisiin. Hyökkääjän täytyy ehkä varmistaa muutama lisävaihe ennen lopullisen hyökkäyksen suorittamista.
Vaihe 2: tunkeutuu tarvittaessa syvemmälle hyökkäyksen asetusten loppuun suorittamiseksi. Tästä eteenpäin LockBit-ohjelma ohjaa kaiken toimintansa itsenäisesti. Se on ohjelmoitu käyttämään "hyväksikäytön jälkeisiä" työkaluja saadakseen paremmat käyttöoikeudet, niin että se pääsee käyttämään järjestelmää hyökkäykselle sopivalta tasolta. Se myös juurtuu olemassa olevan käyttöoikeuden välityksellä lateraalisesti tutkiakseen kohteen elinkelpoisuutta.
Tässä vaiheessa LockBit suorittaa valmistelut ennen kuin se levittää lunnasohjelman salausosion. Se mm. kytkee pois käytöstä turvallisuusohjelmat ja muun infrastruktuurin, joka voisi mahdollistaa järjestelmän palautuksen.
Tunkeutumisen tavoitteena on tehdä itsenäisestä palautuksesta joko mahdotonta niin hidasta, että hyökkääjän vaatimat lunnasrahat ovat ainoa kätevä ratkaisu. Kun uhri pyrkii epätoivoisesti saamaan toiminnot takaisin normaaleiksi, hän päätyy maksamaan lunnaat.
Vaihe 3: levittää salaussisällön. Kun verkko on valmisteltu LockBitin täydellistä mobilisointia varten, se aloittaa leviämisen kaikkiin laitteisiin, joita se pääsee koskettamaan. Kuten aiemmin mainitsimme, LockBit ei tarvitse paljoa aikaa tämän vaiheen loppuun suorittamiseen. Yksittäinen järjestelmäyksikkö, jolla on pääsy moniin laitteisiin voi lähettää muille verkkoyksiköille komentoja ladata LockBit ja suorittaa se.
Salausosuus asettaa "lukon" kaikkiin järjestelmän tiedostoihin. Uhrit voivat avata järjestelmänsä oletusavaimella, jonka LockBitin oma salaustyökalu on luonut. Prosessi jättää järjestelmän jokaiseen kansioon yksinkertaisen tekstitiedoston, jossa pyydetään lunnasrahoja. Se sisältää ohjeet, joiden avulla uhri voi palauttaa järjestelmänsä ja joissakin LockBitin versioissa viesti on sisältänyt myös uhkaavaa kiristystä.
Kun kaikki vaiheet on suoritettu loppuun, seuraavat vaiheet ovat uhrin vastuulla. Uhri saattaa ottaa yhteyttä LockBitin tukipalveluun ja maksaa lunnaat. Heidän vaatimuksiensa noudattaminen ei kuitenkaan ole suositeltavaa. Uhreilla ei ole takuuta siitä, että hyökkääjät todella tekevät sen, mitä he lupaavat.
LockBit-uhkat ovat viimeisimpiä kiristysohjelmahyökkäyksiä ja ne ovatkin huomattava huolenaihe. Emme voi sulkea pois mahdollisuutta, että se onnistuu ottamaan haltuunsa monia teollisuudenaloja ja organisaatioita ennen kaikkea nyt, kun etätyöskentelyn määrä on lisääntynyt. LockBit-muuttujien huomaaminen voi auttaa tunnistamaan, minkä kanssa olet tekemisissä.
LockBitn alkuperäinen versio nimeää tiedostot uudelleen ".abcd"-tiedostotunnisteella. Se myös lisää jokaiseen kansioon tiedoston, jossa vaaditaan lunnaita ja annetaan ohjeet tiedostojen palauttamiseen. Tämä tiedosto on nimeltään "Restore-My-Files.txt".
Toinen tämän kiristysohjelman tunnettu versio käyttää ".LockBit"-tiedostotunnistetta, jonka mukaan ohjelma on nykyisin nimetty. Uhrit huomaavat, että tämän version muut piirteet ovat lähes samanlaisia muutamia taustajärjestelmän uudistuksia lukuun ottamatta.
Seuraava tunnistettava LockBitin versio ei enää vaadi Tor-selaimen lataamista kiristysohjeissaan. Sen sijaan se lähettää uhrille vaihtoehtoisen verkkosivun perinteisen internetyhteyden välityksellä.
Hiljattain LockBitiä on parannettu entistä pahemmilla ominaisuuksilla, kuten hallinnollisten lupien tarkastuspisteiden kieltämisellä. LockBit kytkee nyt pois päältä ilmoitukset, jotka käyttäjä saattaa nähdä, kun sovellusta yritetään suorittaa järjestelmänvalvojan oikeuksin.
Haittaohjelma myös varastaa nykyisin palvelimen tietojen kopiot ja sisällyttää lunnaita vaativaan viestiin kiristystä. Jos uhri ei noudata ohjeita, LockBit uhkaa julkaista uhrin yksityistietoja.
Jos organisaatiosi on jo saanut tartunnan, pelkkä LockBitin poisto ei mahdollista tiedostojen käyttöä. Tarvitset edelleen työkalun järjestelmäsi palauttamiseen, sillä salauksen avaus vaatii "avaimen". Vaihtoehtoisesti voit ehkä palauttaa järjestelmäsi näköistiedostoista, jos sinulla on ennen tartuntaa otetut varmuuskopiot tiedostoista.
Sinun pitää ottaa suojaustoimet käyttöön varmistaaksesi, että organisaatiosi kykenee vastustamaan kiristys- ja haittaohjelmien hyökkäyksiä. Voit valmistautua näiden toimenpiteiden avulla:
Aiheeseen liittyvät artikkelit: