LockBit-utpressningsviruset är en skadlig programvara som blockerar åtkomsten till ditt datasystem för en lösensumma. LockBit söker automatiskt efter värdefulla mål och sprider viruset för att kryptera alla tillgängliga datorsystem i nätverket. Detta utpressningsvirus har använts vid många attacker som riktar sig mot företag och organisationer. LockBit-angripare har gjort sig kända för att utsätta organisationer över hela världen för följande hot:
LockBit är det senaste utpressningsviruset på marknaden. Det kallades tidigare för ABCD-utpressningsvirus och har utvecklats till ett unikt hot inom utpressningsverktyg. Lockbit är en underindelningstyp av utpressningsvirus som kallas för ”kryptovirus”. Det får namnet av att utpressaren kräver offret på pengar för att dekryptera stulna data. De vanligaste offren är företag och myndigheter, inte privatpersoner.
LockBit har använts sedan september 2019, då under namnet ABCD-virus. Namnet kom från det tilläggsnamn som användes vid kryptering av offrets filer. Människor över hela världen har drabbats framförallt i USA, Kina, Indien, Indonesien och Ukraina. Flera europeiska länder bl.a. Frankrike, Storbritannien och Tyskland har även drabbats.
Lämpliga offer är sådana som påverkas så pass av driftstoppet att de är villiga, och har möjlighet, att betala större summor för att få tillbaka åtkomsten till sitt system och sina filer. Alltifrån större företag till vårdinrättningar och finansiella institut drabbas. Viruset verkar däremot undvika system i Ryssland eller inom Oberoende staters samvälde. Antagligen för att undvika åtal i dessa länder.
LockBit är ett RaaS-virus (Ransomware-As-A-Service). Bedragarna erbjuder en tjänst till sina offer och utnyttjar dem sedan via ett annat ramverk. Lösensumman delas sedan mellan LockBit-utvecklarna och parterna som tillhör de utnyttjande nätverket, vilka får tre fjärdedelar av beloppet.
Många myndigheter anser att LockBit-utpressningsviruset tillhör gruppen av skadliga programvaror som går under namnet LockerGoga & MegaCortex. Det innebär helt enkelt att viruset har liknande egenskaper som dessa etablerade utpressningsvirus. I korta drag är dessa attacker
Utpressningsviruset främsta egenskap är att det självproducerande, vilket innebär att det sprider sig på egen hand. LockBit baseras på förutformade automatiska processer. Det skiljer viruset från andra utpressningsprogram som förlitar sig på manuella ingripanden i nätverket som ibland tar veckor att utveckla.
När angriparen har infekterat en enskild värd manuellt kan den få åtkomst till andra värdar och dela infektionen i form av ett skript. Detta sker helt utan mänskligt ingripande.
Viruset använder sig även av verktygen på ett sätt som välbekant för Windows-systemen. Säkerhetssystemen i klienten kan därför missa virusaktiviteten. Den körbara krypteringsfilen är maskerad som ett vanligt PNG-bildformat som är svårt för säkerhetsprogrammen att upptäcka.
LockBit brukar delas upp i tre faser:
Fas 1 – Hitta kryphålen i nätverket. Överträdelsen påminner till en början om andra typer av skadlig programvara. Organisationen utsätts för social manipulering i form av nätfiske, där angriparna utger sig för att vara betrodda kontakter eller myndigheter för att få dig att lämna ut dina inloggningsuppgifter. Brute force-attacker är ett annat sätt som hackare använder för att komma åt organisationens servrar och nätverk. Dessa attacker kan komma åt nätverk på bara ett par dagar om nätverket inte är tillräckligt säkerhetskonfigurerat.
När LockBit väl har tagit sig in i nätverket kommer det att sprida krypteringsviruset till så många enheter som möjligt. Angripare måste ofta avverka några ytterligare steg innan de lägger in dödsstöten.
Fas 2 – Infiltreringen . Infiltrering för att gå djupare i systemet. Nu kan LockBit sköta all aktivitet självständigt. Viruset har utformats med så kallade "intrångsefterföljande" verktyg som används för att ändra behörigheterna och utföra attacken genom att reglera åtkomsten. Viruset använder sig att tillgängliga data för att bedöma sårbarheterna.
I den här fasen förbereder sig LockBit för att kryptera dina data i utpressningssyfte. Detta inkluderar inaktivering av säkerhetsprogram och annan skyddande infrastruktur.
Målet är att göra det omöjligt för offret att återställa sina data utan hjälp eller genom att påverka driften så pass mycket att du blir tvungen att betala lösensumman. Det är lätt att hamna i detta läge i ren desperation.
Fas 3 – Distribuering av krypteringslasten. Så fort som LockBit har infiltrerat systemet tillräckligt kommer utpressningsviruset att spridas till så många enheter som möjligt. Som nämnt tidigare, krävs det inte mycket för LockBit att lyckas med detta. Det räcker med att en enhet med hög behörighet infiltreras för att hämta och köra LockBit i hela nätverket.
Systemfilerna kommer att "låsas" med hjälp av kryptering. Offret kan bara få åtkomst till sina filer igenom med hjälp av den nyckel som skapats i LockBits dekrypteringsverktyg. Utpressningsmeddelanden kommer att lämnas i varje systemmapp. Meddelandet innehåller information om hur offret ska gå tillväga för att få åtkomst till sitt system igen och kan i vissa LockBit-versioner även innehålla hotfull utpressning.
Det är nu upp till offret att agera. De kan välja att lyda och betala lösensumman men detta är inget vi rekommenderar. Det finns inga garantier för att de inte utsätter verksamheten för nya attacker även om de lovar motsatsen.
LockBit är en av senaste typerna av utpressningsvirus och kan orsaka stor skada. I och med den plötsliga ökningen av distansarbete är företag och organisationer mer sårbara än någonsin. Minska risken för LockBit-hot genom att lära känna kännetecknen.
LockBit kallades ursprungligen för ABCD-virus och detta namn används fortfarande för att döpa om filerna. Du kommer även få ett utpressningsmeddelande med krav och anvisningar i en fil med namn "Restore-My-Files.txt". Meddelandet lämnas i alla mappar.
LockBit-tillägget används inom den andra kända versionen av detta utpressningsvirus som gett det sitt aktuella namn. Många menar dock att egenskaperna är så gott som identiska med tidigare version trots serverdelsgranskningar.
I den nya LockBit-versionen nämns inte hämtning av Tor-webbläsaren längre. Offret uppmanas i stället till en alternativ webbplats via vanlig internetanslutning.
LockBit har nyligen utformats med nya skadliga egenskaper som upphävning av administratörsbehörigheter. LockBit inaktiverar de varningsmeddelanden som normalt visas när program köra med administratörsbehörigheter.
Den skadliga programvaran stjäl även serverdata och innehåller nu mer utpressningshot i meddelandet. Om offret inte följer anvisningarna hotar LockBit nu med att dela deras privata filer med allmänheten.
Det räcker inte med att bara ta bort LockBit-utpressningsviruset om nätverket har infiltrerats för att komma åt dina filer igen. Det krävs ändå en "nyckel" för att låsa upp systemet igen. Om du har uppdaterade säkerhetskopior som inte är infekterade kan du däremot återskapa systemet på annan plats.
Det gäller att vidta åtgärder för att skydda verksamheten som utpressningsvirus och liknande hot redan från början. Här följer några tips på hur du kan gå tillväga:
Relaterade artiklar: