LockBit-utpressningsvirus – bra att veta

LockBit Definition

LockBit-utpressningsviruset är en skadlig programvara som blockerar åtkomsten till ditt datasystem för en lösensumma. LockBit söker automatiskt efter värdefulla mål och sprider viruset för att kryptera alla tillgängliga datorsystem i nätverket. Detta utpressningsvirus har använts vid många attacker som riktar sig mot företag och organisationer. LockBit-angripare har gjort sig kända för att utsätta organisationer över hela världen för följande hot:

• Driftstopp där väsentliga funktioner inaktiveras plötsligt.
• Utpressning för finansiell vinning.
• Datastöld och olaglig publicering av stulna data om offret inte gör som hackaren säger.

Vad är LockBit-utpressningsvirus?

LockBit är det senaste utpressningsviruset på marknaden. Det kallades tidigare för ABCD-utpressningsvirus och har utvecklats till ett unikt hot inom utpressningsverktyg. Lockbit är en underindelningstyp av utpressningsvirus som kallas för ”kryptovirus”. Det får namnet av att utpressaren kräver offret på pengar för att dekryptera stulna data. De vanligaste offren är företag och myndigheter, inte privatpersoner.

LockBit har använts sedan september 2019, då under namnet ABCD-virus. Namnet kom från det tilläggsnamn som användes vid kryptering av offrets filer. Människor över hela världen har drabbats framförallt i USA, Kina, Indien, Indonesien och Ukraina. Flera europeiska länder bl.a. Frankrike, Storbritannien och Tyskland har även drabbats.

Lämpliga offer är sådana som påverkas så pass av driftstoppet att de är villiga, och har möjlighet, att betala större summor för att få tillbaka åtkomsten till sitt system och sina filer. Alltifrån större företag till vårdinrättningar och finansiella institut drabbas. Viruset verkar däremot undvika system i Ryssland eller inom Oberoende staters samvälde. Antagligen för att undvika åtal i dessa länder.

LockBit är ett RaaS-virus (Ransomware-As-A-Service). Bedragarna erbjuder en tjänst till sina offer och utnyttjar dem sedan via ett annat ramverk. Lösensumman delas sedan mellan LockBit-utvecklarna och parterna som tillhör de utnyttjande nätverket, vilka får tre fjärdedelar av beloppet.

Hur fungerar LockBit-utpressningsviruset?

Många myndigheter anser att LockBit-utpressningsviruset tillhör gruppen av skadliga programvaror som går under namnet LockerGoga & MegaCortex. Det innebär helt enkelt att viruset har liknande egenskaper som dessa etablerade utpressningsvirus. I korta drag är dessa attacker

• självspridande i organisationer utan mänskligt ingripande
• inriktade snarare än att de sprids slumpmässigt som skadlig programvara via skräppost
• och de sprids via liknande verktyg, som Windows Powershell och SMB (Server Message Block).

Utpressningsviruset främsta egenskap är att det självproducerande, vilket innebär att det sprider sig på egen hand. LockBit baseras på förutformade automatiska processer. Det skiljer viruset från andra utpressningsprogram som förlitar sig på manuella ingripanden i nätverket som ibland tar veckor att utveckla.

När angriparen har infekterat en enskild värd manuellt kan den få åtkomst till andra värdar och dela infektionen i form av ett skript. Detta sker helt utan mänskligt ingripande.

Viruset använder sig även av verktygen på ett sätt som välbekant för Windows-systemen. Säkerhetssystemen i klienten kan därför missa virusaktiviteten. Den körbara krypteringsfilen är maskerad som ett vanligt PNG-bildformat som är svårt för säkerhetsprogrammen att upptäcka.

Faser under LockBit-attacker

LockBit brukar delas upp i tre faser:

1. Kryphålsfasen
2. Infilteringsfasen
3. Distribueringfasen

Fas 1 – Hitta kryphålen i nätverket. Överträdelsen påminner till en början om andra typer av skadlig programvara. Organisationen utsätts för social manipulering i form av nätfiske, där angriparna utger sig för att vara betrodda kontakter eller myndigheter för att få dig att lämna ut dina inloggningsuppgifter. Brute force-attacker är ett annat sätt som hackare använder för att komma åt organisationens servrar och nätverk. Dessa attacker kan komma åt nätverk på bara ett par dagar om nätverket inte är tillräckligt säkerhetskonfigurerat.

När LockBit väl har tagit sig in i nätverket kommer det att sprida krypteringsviruset till så många enheter som möjligt. Angripare måste ofta avverka några ytterligare steg innan de lägger in dödsstöten.

Fas 2 – Infiltreringen . Infiltrering för att gå djupare i systemet. Nu kan LockBit sköta all aktivitet självständigt. Viruset har utformats med så kallade "intrångsefterföljande" verktyg som används för att ändra behörigheterna och utföra attacken genom att reglera åtkomsten. Viruset använder sig att tillgängliga data för att bedöma sårbarheterna.

I den här fasen förbereder sig LockBit för att kryptera dina data i utpressningssyfte. Detta inkluderar inaktivering av säkerhetsprogram och annan skyddande infrastruktur.

Målet är att göra det omöjligt för offret att återställa sina data utan hjälp eller genom att påverka driften så pass mycket att du blir tvungen att betala lösensumman. Det är lätt att hamna i detta läge i ren desperation.

Fas 3 – Distribuering av krypteringslasten. Så fort som LockBit har infiltrerat systemet tillräckligt kommer utpressningsviruset att spridas till så många enheter som möjligt. Som nämnt tidigare, krävs det inte mycket för LockBit att lyckas med detta. Det räcker med att en enhet med hög behörighet infiltreras för att hämta och köra LockBit i hela nätverket.

Systemfilerna kommer att "låsas" med hjälp av kryptering. Offret kan bara få åtkomst till sina filer igenom med hjälp av den nyckel som skapats i LockBits dekrypteringsverktyg. Utpressningsmeddelanden kommer att lämnas i varje systemmapp. Meddelandet innehåller information om hur offret ska gå tillväga för att få åtkomst till sitt system igen och kan i vissa LockBit-versioner även innehålla hotfull utpressning.

Det är nu upp till offret att agera. De kan välja att lyda och betala lösensumman men detta är inget vi rekommenderar. Det finns inga garantier för att de inte utsätter verksamheten för nya attacker även om de lovar motsatsen.

Typer av LockBit-hot

LockBit är en av senaste typerna av utpressningsvirus och kan orsaka stor skada. I och med den plötsliga ökningen av distansarbete är företag och organisationer mer sårbara än någonsin. Minska risken för LockBit-hot genom att lära känna kännetecknen.

Variant 1 – ABCD-tillägg

LockBit kallades ursprungligen för ABCD-virus och detta namn används fortfarande för att döpa om filerna. Du kommer även få ett utpressningsmeddelande med krav och anvisningar i en fil med namn "Restore-My-Files.txt". Meddelandet lämnas i alla mappar.

Variant 2 – LockBit-tillägg

LockBit-tillägget används inom den andra kända versionen av detta utpressningsvirus som gett det sitt aktuella namn. Många menar dock att egenskaperna är så gott som identiska med tidigare version trots serverdelsgranskningar.

Variant 3 – LockBit-version 2

I den nya LockBit-versionen nämns inte hämtning av Tor-webbläsaren längre. Offret uppmanas i stället till en alternativ webbplats via vanlig internetanslutning.

Pågående uppdateringar och granskningar av LockBit

LockBit har nyligen utformats med nya skadliga egenskaper som upphävning av administratörsbehörigheter. LockBit inaktiverar de varningsmeddelanden som normalt visas när program köra med administratörsbehörigheter.

Den skadliga programvaran stjäl även serverdata och innehåller nu mer utpressningshot i meddelandet. Om offret inte följer anvisningarna hotar LockBit nu med att dela deras privata filer med allmänheten.

Borttagning av LockBit och dekryptering

Det räcker inte med att bara ta bort LockBit-utpressningsviruset om nätverket har infiltrerats för att komma åt dina filer igen. Det krävs ändå en "nyckel" för att låsa upp systemet igen. Om du har uppdaterade säkerhetskopior som inte är infekterade kan du däremot återskapa systemet på annan plats.

Så här skyddar du dig emot LockBit-utpressningsvirus

Det gäller att vidta åtgärder för att skydda verksamheten som utpressningsvirus och liknande hot redan från början. Här följer några tips på hur du kan gå tillväga:

1. Använd starka lösenord. Många dataintrång beror på lösenord som är alldeles för lätta att gissa sig till eller enkla nog att infiltreras med algoritmverktyg. Välj ett långt lösenord med olika tecken och utforma egna regler för lösenordsfraser.
2. Använd dig av flerfaktorsautentisering. Förhindra nyckelsökningsangrepp genom att använda flera inloggningsnivåer utöver lösenordet. Använd dig om möjligt av till exempel biometrik eller fysiska USB-nycklar.
3. Utvärdera och begränsa behörigheterna för användarkonton. Tillämpa striktare behörighetsrutiner för att minska risken för du missar potentiella hot. Håll koll på anslutningar via klientanvändare och IT-konton med administratörsbehörighet. Se till att även skydda webbdomäner, samarbetsplattformat, webbmötestjänster och företagsdatabaser.
4. Ta bort inaktuella användarkonto och de som inte längre används. Ibland ligger det kvar konton från tidigare personalen och skräpar i äldre system. Utför en genomsökning i systemet för att ta bort dessa potentiella sårbarheter.
5. Se till att säkerhetsrutinerna tillämpas i samtliga systemkonfigurationen. Detta kan ta lite tid men med hjälp av kontrollering av befintliga konfigurationer är ett bra sätt att upptäcka inaktuella policyer och potentiella sårbarheter i systemet. Kontrollera systemet regelbundet för att skydda verksamheten mot nya näthot.
6. Se till att alltid ha uppdaterade säkerhetskopior utan skadlig programvara. Det kommer att dyka upp på problem då och då, och det bästa sättet att skydda sig mot dataförlust är att ha en kopia offline. Skapa säkerhetskopior inom organisationen regelbundet så att de är uppdaterade i enlighet med de senaste förändringarna. Det kan vara bra att ha flera säkerhetskopieringsalternativ att alternera mellan om en säkerhetskopia utsätt för skadlig programvara.

Relaterade artiklar:

• Hur hackare kan hota din onlineintegritet
• Vad är en säkerhetsöverträdelse?
• Säkerhetshot inom Internet of Things
• Vad är datakryptering?
• Nätfiskeguide