LockBit-kiristysohjelma — mikä se on ja kuinka voit siltä suojautua

LockBitin määritelmä

LockBit-kiristysohjelma on haitallinen ohjelmisto, joka on suunniteltu estämään käyttäjän pääsy tietokonejärjestelmiin, kunnes hän maksaa lunnassumman. LockBit etsii automaattisesti arvokkaita kohteita, levittää tartuntaa ja salaa kaikki verkon saatavilla olevat tietokonejärjestelmät. Tätä kiristysohjelmaa käytetään tarkasti suunnatuissa hyökkäyksissä yrityksiä ja järjestöjä vastaan. Itsestään ohjautuvalla LockBit-ohjelmalla kyberhyökkääjät ovat uhanneet organisaatioita kautta maailman mm. seuraavilla tavoilla:

Toimintojen keskeytys, jossa oleelliset toiminnot yhtäkkiä keskeytyvät.
Kiristys, jossa hakkeri pyrkii hyötymään rahallisesti.
Tietovarkaus ja laiton julkaiseminen, jossa uhria mustamaalataan, ellei hän noudata vaatimuksia.

Mikä LockBit-kiristysohjelma on?

LockBit on uusi kiristysohjelma, joka kuuluu pitkään sarjaan rahaa kiristäviä kyberhyökkäyksiä. Aiemmin se tunnettiin ABCD-kiristysohjelmana, joka on sittemmin kasvanut ainutlaatuiseksi kiristysuhaksi. LockBit kuuluu kryptovirusten luokkaan, koska se vaatii rahaa vastapalveluksesi tietojen salauksen poistosta. Se keskittyy pääasiassa yrityksiin ja hallituksen organisaatioihin yksityisihmisten sijaan.

LockBit-hyökkäykset alkoivat alun perin syyskuussa 2019, jolloin sille annettiin nimi ".abcd virus". Nimi viittasi tiedostotunnisteeseen, jota käytettiin uhrin tiedostojen salaamiseen. Merkittäviin uhreihin ovat kuuluneet mm. Yhdysvallat, Kiina, Intia, Indonesia ja Ukraina. Lisäksi moniin Euroopan maihin (Ranskaan, Yhdistyneeseen kuningaskuntaan ja Saksaan) on hyökätty.

Kohteiksi joutuvat organisaatiot, joita häiriö haittaa niin paljon, että he ovat valmiita maksamaan valtavan summan — ja heillä on varaa tehdä niin. Hyökkäykset on kohdistettu aina terveysalan suurista yrityksistä taloudellisiin instituutioihin. Hyökkäyksen automatisoitu järjestelmä näyttää tarkoituksellisesti välttävän hyökkäyksiä Venäläisiin tai itsenäisten valtioiden yhteisön järjestelmiin. Oletettavasti näin halutaan välttää syytteeseenpano kyseisissä maissa.

LockBit toimii "kiristysohjelmapalveluna" (ransomware-as-a-service, Raas). Kiinnostuneet osapuolet maksavat takuusumman käyttääkseen mukautettuja, vuokrattavia hyökkäyksiä ja hyötyvät niistä osana liittoumaa. Lunnasrahat jaetaan LockBitin kehitystiimin ja hyökkäävien liittolaisten kesken, jotka saavat jopa kolme neljäsosaa lunnasrahoista.

Kuinka LockBit-kirsitysohjelma toimii?

Monet viranomaiset uskovat LockBit-kiristysohjelman olevan osa "LockerGoga & MegaCortex" -haittaohjelmaperhettä. Tämä yksinkertaisesti tarkoittaa, että sen käyttäytyminen vastaa näiden kohdistettujen kiristysohjelmien vakiintuneita muotoja. Lyhyesti selitettynä, nämä hyökkäykset ovat:

Itsestään leviäviä organisaation sisällä, eli ne eivät vaadi manuaalista ohjausta.
Kohdistettuja sen sijaan että ne leviäisivät joka suuntaan kuten esimerkiksi roskapostien haittaohjelmat.
Samanlaisia työkaluja hyödyntäviä ja ne leviävät mm. Windows Powershellin ja Server Message Blockin (SMB) välityksellä.

Merkittävintä on LockBitin kyky levitä itse. LockBitin ohjelmointia ohjaa ennalta suunnitellut automatisoidut prosessit. Sen vuoksi se on ainutlaatuinen moniin muihin kiristysohjelmahyökkäyksiin verrattuna, joita ohjataan verkossa manuaalisesti — joskus jopa viikkoja — valvonnan ja tiedustelun läpäisemiseksi.

Kun hyökkääjä on manuaalisesti tartuttanut yhden isännän, se voi löytää pääsyn muihin isäntiin, yhdistää ne tartunnan saaneisiin ja jakaa tartuntaa koodin avulla. Tämä suoritetaan ja toistetaan täysin ilman ihmisten väliintuloa.

Lisäksi ohjelma käyttää työkaluja malleissa, jotka kuuluvat alkuperäisesti lähes kaikkiin Windows-tietokonejärjestelmiin. Päätepisteiden turvallisuusjärjestelmien on vaikea tunnistaa haitallista toimintaa. Ohjelma myös piilottaa suoritettavan salaustiedoston naamioiden sen tavanomaiseksi .PNG-tiedostoksi, mikä edelleen huijaa puolustusjärjestelmiä.

LockBit-hyökkäysten vaiheet

LockBit-hyökkäykset voidaan jakaa karkeasti kolmeen vaiheeseen:

Hyväksikäyttö
Tunkeutuminen
Levittäytyminen

Vaihe 1: hyväksikäyttää verkon heikkouksia. Alussa tapahtuva murto vaikuttaa samalta, kuin mikä tahansa muukin haitallinen hyökkäys. Organisaatiota vastaan hyökätään sosiaalisen manipuloinnin taktiikoilla, kuten tietojenkalastelulla, jossa hyökkääjät tekeytyvät luotetuksi henkilökunnaksi tai viranomaisiksi, jotka vaativat kirjautumistietoja. Yhtä tavanomaisia ovat väsytysmenetelmähyökkäykset organisaation intranetpalvelimiin ja verkkojärjestelmiin. Jos verkkoa ei ole konfiguroitu asianmukaisesti, hyökkäysyritykset onnistuvat jopa muutaman päivän kuluessa.

Kun LockBit on päässyt verkkoon, lunnasohjelma valmistelee järjestelmää vapauttamaan salaussisällön kaikkiin mahdollisiin laitteisiin. Hyökkääjän täytyy ehkä varmistaa muutama lisävaihe ennen lopullisen hyökkäyksen suorittamista.

Vaihe 2: tunkeutuu tarvittaessa syvemmälle hyökkäyksen asetusten loppuun suorittamiseksi. Tästä eteenpäin LockBit-ohjelma ohjaa kaiken toimintansa itsenäisesti. Se on ohjelmoitu käyttämään "hyväksikäytön jälkeisiä" työkaluja saadakseen paremmat käyttöoikeudet, niin että se pääsee käyttämään järjestelmää hyökkäykselle sopivalta tasolta. Se myös juurtuu olemassa olevan käyttöoikeuden välityksellä lateraalisesti tutkiakseen kohteen elinkelpoisuutta.

Tässä vaiheessa LockBit suorittaa valmistelut ennen kuin se levittää lunnasohjelman salausosion. Se mm. kytkee pois käytöstä turvallisuusohjelmat ja muun infrastruktuurin, joka voisi mahdollistaa järjestelmän palautuksen.

Tunkeutumisen tavoitteena on tehdä itsenäisestä palautuksesta joko mahdotonta niin hidasta, että hyökkääjän vaatimat lunnasrahat ovat ainoa kätevä ratkaisu. Kun uhri pyrkii epätoivoisesti saamaan toiminnot takaisin normaaleiksi, hän päätyy maksamaan lunnaat.

Vaihe 3: levittää salaussisällön. Kun verkko on valmisteltu LockBitin täydellistä mobilisointia varten, se aloittaa leviämisen kaikkiin laitteisiin, joita se pääsee koskettamaan. Kuten aiemmin mainitsimme, LockBit ei tarvitse paljoa aikaa tämän vaiheen loppuun suorittamiseen. Yksittäinen järjestelmäyksikkö, jolla on pääsy moniin laitteisiin voi lähettää muille verkkoyksiköille komentoja ladata LockBit ja suorittaa se.

Salausosuus asettaa "lukon" kaikkiin järjestelmän tiedostoihin. Uhrit voivat avata järjestelmänsä oletusavaimella, jonka LockBitin oma salaustyökalu on luonut. Prosessi jättää järjestelmän jokaiseen kansioon yksinkertaisen tekstitiedoston, jossa pyydetään lunnasrahoja. Se sisältää ohjeet, joiden avulla uhri voi palauttaa järjestelmänsä ja joissakin LockBitin versioissa viesti on sisältänyt myös uhkaavaa kiristystä.

Kun kaikki vaiheet on suoritettu loppuun, seuraavat vaiheet ovat uhrin vastuulla. Uhri saattaa ottaa yhteyttä LockBitin tukipalveluun ja maksaa lunnaat. Heidän vaatimuksiensa noudattaminen ei kuitenkaan ole suositeltavaa. Uhreilla ei ole takuuta siitä, että hyökkääjät todella tekevät sen, mitä he lupaavat.

LockBit-uhkien tyypit

LockBit-uhkat ovat viimeisimpiä kiristysohjelmahyökkäyksiä ja ne ovatkin huomattava huolenaihe. Emme voi sulkea pois mahdollisuutta, että se onnistuu ottamaan haltuunsa monia teollisuudenaloja ja organisaatioita ennen kaikkea nyt, kun etätyöskentelyn määrä on lisääntynyt. LockBit-muuttujien huomaaminen voi auttaa tunnistamaan, minkä kanssa olet tekemisissä.

Muuttuja 1 —. abcd-tunniste

LockBitn alkuperäinen versio nimeää tiedostot uudelleen ".abcd"-tiedostotunnisteella. Se myös lisää jokaiseen kansioon tiedoston, jossa vaaditaan lunnaita ja annetaan ohjeet tiedostojen palauttamiseen. Tämä tiedosto on nimeltään "Restore-My-Files.txt".

Muuttuja 2 —. LockBit-tunniste

Toinen tämän kiristysohjelman tunnettu versio käyttää ".LockBit"-tiedostotunnistetta, jonka mukaan ohjelma on nykyisin nimetty. Uhrit huomaavat, että tämän version muut piirteet ovat lähes samanlaisia muutamia taustajärjestelmän uudistuksia lukuun ottamatta.

Muuttuja 3 —. LockBit-versio 2

Seuraava tunnistettava LockBitin versio ei enää vaadi Tor-selaimen lataamista kiristysohjeissaan. Sen sijaan se lähettää uhrille vaihtoehtoisen verkkosivun perinteisen internetyhteyden välityksellä.

LockBitin jatkuvat päivitykset ja uudistukset

Hiljattain LockBitiä on parannettu entistä pahemmilla ominaisuuksilla, kuten hallinnollisten lupien tarkastuspisteiden kieltämisellä. LockBit kytkee nyt pois päältä ilmoitukset, jotka käyttäjä saattaa nähdä, kun sovellusta yritetään suorittaa järjestelmänvalvojan oikeuksin.

Haittaohjelma myös varastaa nykyisin palvelimen tietojen kopiot ja sisällyttää lunnaita vaativaan viestiin kiristystä. Jos uhri ei noudata ohjeita, LockBit uhkaa julkaista uhrin yksityistietoja.

LockBitin poisto ja salauksen avaus

Jos organisaatiosi on jo saanut tartunnan, pelkkä LockBitin poisto ei mahdollista tiedostojen käyttöä. Tarvitset edelleen työkalun järjestelmäsi palauttamiseen, sillä salauksen avaus vaatii "avaimen". Vaihtoehtoisesti voit ehkä palauttaa järjestelmäsi näköistiedostoista, jos sinulla on ennen tartuntaa otetut varmuuskopiot tiedostoista.

Kuinka LockBit-kiristysohjelmaa vastaan voi suojautua?

Sinun pitää ottaa suojaustoimet käyttöön varmistaaksesi, että organisaatiosi kykenee vastustamaan kiristys- ja haittaohjelmien hyökkäyksiä. Voit valmistautua näiden toimenpiteiden avulla:

Ota käyttöön vahvat salasanat. Monien tilimurtojen taustalla ovat helposti arvattavat salasanat. Tai salasanat ovat riittävän yksinkertaisia, että algoritmityökalu pystyy ratkaisemaan ne muutaman päivän yritysten tuloksena. Valitse turvallinen salasana, joka on riittävän pitkä. Tai muodosta salalause itse keksimilläsi säännöillä.
Ota käyttöön monivaiheinen todennus. Estä väsytysmenetelmähyökkäykset lisäämällä tasoja alkuperäisiin salasanapohjaisiin kirjautumistapoihin. Ota käyttöön esimerkiksi todennus biometriikan tai fyysisen USB-avaimen avulla kaikissa järjestelmissäsi.
Tarkista käyttäjätilien oikeudet ja yksinkertaista niitä. Rajoita käyttöoikeuksia tiukemmiksi estääksesi potentiaalisten uhkien pääsyn järjestelmään huomaamatta. Kiinnitä erityisesti huomiota loppukäyttäjien ja IT-tiimin tileihin, joilla on järjestelmänvalvojan käyttöoikeudet. Verkkotoimialueet, yhteistyöalustat, verkkokokouspalvelut ja yrityksen tietokannat pitää turvata.
Puhdista vanhentuneet ja käyttämättömät käyttäjätilit. Vanhemmissa järjestelmissä saattaa olla aiempien työntekijöiden tilejä, joita ei koskaan poistettu käytöstä ja suljettu. Järjestelmien tarkistuksen pitäisi sisältää näiden mahdollisesti heikkojen pisteiden poisto.
Varmista, että järjestelmän konfiguraatiot noudattavat kaikkia turvallisuussuosituksia. Tarkistus saattaa viedä aikaa, mutta olemassa olevien asennusten läpikäynti saattaa paljastaa uusia ongelmia ja vanhentuneita käytäntöjä, jotka altistavat organisaation hyökkäyksille. Standardikäytännöt pitää arvioida uudestaan säännöllisesti, jotta ne vastaavat uusimpien kyberuhkien aiheuttamia vaaroja.
Ota aina varmuuskopiot koko järjestelmästä ja puhtaat paikalliskoneiden näköistiedostot. Ongelmia tapahtuu ja ainoa todellinen turva pysyvää tietojen menetystä vastaan on tietojen erillinen kopio. Organisaation pitäisi luoda säännöllisesti varmuuskopioita pysyäkseen ajan tasalla järjestelmän tärkeiden muutosten kanssa. Siltä varalta, että haittaohjelma saastuttaa varmuuskopion, voit harkita useiden kiertävien varmuuskopiointipisteiden luontia. Näin sinulla on mahdollisuus valita puhdas aikakausi.

Aiheeseen liittyvät artikkelit:

LockBit-kiristysohjelma — mitä sinun täytyy tietää

Kaspersky

Mikä LockBit on? Se on viimeisin kiristysohjelma, joka on vaikuttanut yrityksiin maailmanlaajuisesti. Opi suojaamaan yritystäsi tältä vaaralliselta kiristyshohjelmalta.