I et interview i august 2021 talte en LockBit-operatør på russisk og forsvarede Rusland. LockBit ransomware undgår kryptering af filer på systemer, der bruger Commonwealth of Independent States (CIS) sprog. Disse faktorer peger på, at LockBit-medlemmer er russiske, selvom gruppen har sagt, at den værdsætter medlemmernes anonymitet. Flere er dog fængslet og dømt, mens der pågår en intensiv jagt efter Lockbit medlemmer. Fordi LockBit er en RaaS service der kan anvendes som Spionsoftware og Ransomware service, bruges den ikke af en enkelt server, men af tilknyttede affiliates, som er medlemmer der benytter RAAS servicen. Disse kan være andre kriminelle organisationer eller enkeltpersoner placeret overalt i verden.
ICARE SECURITY A/S vurderer at der er ca. 1.480 Lockbit ofre pr. dags dato. Nogle kilder siger væsentligt mindre omkring 1.000 og nogle lidt mere. LockBit selv hævder at have ramt 750 ofre alene i 2022.
LockBit-ransomware er en skadelig software, der er designet til at blokere brugeradgangen til computersystemer mod betaling af løsepenge. LockBit er en kriminal bande, der automatisk undersøger værdifulde mål, sprede infektionen og kryptere alle tilgængelige computersystemer på et netværk. Denne ransomware bruges til meget målrettede angreb mod virksomheder og andre organisationer. Som et selvstyret cyberangreb har LockBit-angriberne gjort sig bemærkede ved at true virksomheder globalt med nogle af følgende trusler:
- Driftsafbrydelse med væsentlige virksomhedsfunktioner, der pludselig standser.
- Afpresning for en økonomisk gevinst til hackeren.
- Tyveri af data og ulovlig offentliggørelse som afpresning, hvis offeret ikke følger kravene.
Hvad er LockBit-ransomware?
LockBit er et nyt ransomware-angreb i en lang række af cyberangreb med afpresning som sit formål. Det er tidligere kendt som “ABCD”-ransomware og har siden udviklet sig til en unik trussel inden for rammerne af disse afpresningsværktøjer. LockBit er en underklasse af ransomware kendt som “kryptovirus”, fordi kravene om løsepenge er centreret omkring økonomisk betaling til gengæld for dekryptering. Denne ransomware fokuserer mest på virksomheder og offentlige organisationer frem for enkeltpersoner.
Angreb med LockBit begyndte i september 2019, hvor de blev benævnt “ABCD-virus”. Dette navn refererer til filtypen .abcd, der blev brugt ved kryptering af offerets filer. Tidligere mål omfatter virksomheder i USA, Kina, Indien, Indonesien, Ukraine. Derudover har forskellige lande i hele Europa (Frankrig, Storbritannien, Tyskland) oplevet angreb.
Man kan se forskellige ofre og beskrivelser her:
De oplagte mål er virksomheder, der vil føle sig tilstrækkeligt begrænset af afbrydelsen til at betale et stort beløb, og som har midlerne til at gøre det. Dette kan derfor resultere i omfattende angreb på store virksomheder inden for f.eks. sundhedspleje eller finans.
Angrebene synes med vilje at undgå at angribe systemer, der befinder sig i Rusland eller de tidligere sovjetiske lande. Formentlig er det for at undgå retsforfølgelse i disse lande.
LockBit fungerer som ransomware-as-a-service (RaaS). De interesserede parter betaler et depositum for at gøre brug af skræddersyede “leasede” angreb og modtager fortjeneste i henhold til en affiliate-aftale. Løsepengene fordeles mellem LockBit-udviklerholdet og de angribende affilierede parter, der modtager op til 80% af løsesummen.
Hvordan fungerer LockBit-ransomware?
LockBit-ransomware anses af mange myndigheder for at være en del af “LockerGoga & MegaCortex”-malwareserien.
Det betyder blot, at ransomwarens adfærd ligner disse etablerede former for målrettet ransomware. Her kommer en hurtig forklaring af, hvad disse angreb er:
- Lockbit er selvspredende inden for en virksomhed i stedet for at kræve manuel installation
- Lockbit er Målrettet i stedet for at sprede sig udefinerbart som spam malware, der ført undersøger kilderne efter at have opnået adgang
- Brug af lignende værktøjer til spredning, f.eks. Windows Powershell og SMB (Server Message Block).
Det mest fremtrædende træk er malwarens evne til selvstændig udbredelse, hvilket betyder, at den spreder sig alene. I sin programmering styres LockBit af foruddesignede automatiserede processer. Dette adskiller den fra mange andre ransomware-angreb, hvor hackeren befinder sig manuelt i netværket – nogle gange i mange uger – for at udføre rekognoscering og overvågning.
Når angriberen manuelt har inficeret en enkelt vært, kan der findes andre tilgængelige værter, forbinde dem til inficerede værter og dele infektionen ved hjælp af et script. Dette afsluttes og gentages helt uden menneskelig indgriben.
Desuden bruger Lockbit værktøjer og exe filer skjult i fotos på computere, der er hjemmehørende i næsten alle Windows-computersystemer. Slutpunktsikkerhedssystemer har derfor svært ved at registrere den skadelige aktivitet. Ransomwaren skjuler også den eksekverbare krypteringsfil ved at give den form som det almindelige PNG-billedfilformat, hvilket yderligere snyder systemets forsvar.
Faserne i et LockBit-angreb
LockBit-angreb kan i store træk deles op i tre faser:
- Udnyt
- Infiltrer
- Implementer
Fase 1: Udnyt svaghederne i et netværk. Det oprindelige indbrud ligner som udgangspunkt andre skadelige angreb. En organisation kan udnyttes ved hjælp af en social engineering-taktik såsom phishing, hvor angribere udgiver sig for at være betroet personale eller myndigheder for at anmode om adgangsoplysninger.
Lige så udbredt er brugen af brute force-angreb på en organisations intranetservere og netværkssystemer. Hvis virksomheden ikke har den korrekte netværkskonfiguration, kan angrebssonder fuldføre et sådant angreb inden for et par dage, men i realiteten på få sekunder, ved udnyttelse af kendte sikkerhedshuller.
Når LockBit har fået adgang til et netværk, forbereder ransomwaren systemet til at frigive dets data på tværs af alle de enheder, hvor det kan lade sig gøre. En hacker kan dog være nødt til at sikre sig, at nogle få yderligere trin er udført, før han eller hun kan foretage sit endelige træk.
Fase 2: Infiltrer dybere for at fuldføre opsætningen af angreb, hvis det er nødvendigt. Fra dette tidspunkt dirigerer LockBit-programmet al aktivitet uafhængigt af systemet. Det er programmeret til at bruge det, der kaldes “efterudnyttelsesværktøjer” til at opnå eskalerede rettigheder og dermed skabe et angrebsklart adgangsniveau. Programmet undersøger også adgange, som allerede er tilgængelige, ved at skifte fra system til system for at finde passende angrebspunkter.
Det er med andre ord her, LockBit udfører forberedelseshandlinger, før ransomwarens krypteringsdel installeres. Denne del omfatter deaktivering af sikkerhedsprogrammer og enhver anden infrastruktur, der kan tillade systemgendannelse.
Målet med infiltration er at gøre en uassisteret genoprettelse umulig eller tidskrævende nok til, at den eneste praktisk mulige løsning er at give efter for angriberens krav om løsesum. Når offeret er desperat efter at genoprette virksomhedens drift, så betaler denne ofte løsepengene.
Fase 3: Implementer krypteringsnyttelasten. Når netværket er forberedt på, at LockBit kan mobiliseres fuldt ud, vil ransomwaren begynde udbredelsen på tværs af enhver maskine, den kan komme i nærheden af. Som tidligere nævnt behøver LockBit ikke ret mange ressourcer for at fuldføre denne fase. En enkelt systemenhed med højt adgangsniveau kan udstede kommandoer til andre netværksenheder om at downloade LockBit-ransomwaren og køre den.
Krypteringsdelen vil derefter sætte en “lås” på alle systemfiler. Ofrene kan kun låse deres systemer op via en brugerdefineret nøgle, der er oprettet af LockBits eget dekrypteringsværktøj. Processen efterlader også kopier af en simpel tekstfil om løsepenge i hver systemmappe. Tekstfilen indeholder instruktioner til offeret, om hvad han eller hun skal gøre for at gendanne systemet, og i nogle LockBit-versioner inkluderer tekstfilen endda truende afpresning.
Når alle disse faser er fuldført, er de næste trin overladt til offeret. De kan nu vælge at kontakte LockBits supportdesk og betale løsesummen. Men det anbefales ikke at efterleve dette krav. Ofrene har nemlig ingen garanti for, at angriberne vil leve op til deres del af aftalen, og ofte sælges data til andre på lige fod med offeret.
Typer af LockBit-trusler
Som det var tilfældet med det seneste ransomware-angreb, kan LockBit-truslen udgøre et væsentligt problem. Vi kan ikke udelukke muligheden for, at malwaren i fremtiden vil angribe på tværs af mange brancher og virksomheder, især med den nylige stigning inden for fjernarbejde. Men hvis du kan spotte LockBits varianter, kan det hjælpe til at identificere præcis, hvad du har med at gøre.
Variant 1 – .abcd-filendelsen
LockBits oprindelige version omdøber filendelser til “.abcd”. Derudover indeholder den en løsepengeseddel med krav og instruktioner i filen “Restore-My-Files.txt”, som er blevet indsat i alle mapper.
Variant 2 – . LockBit-filendelsen
Den anden kendte version af denne ransomware bruger filnavnet “.LockBit”, hvilket har medført det nuværende kaldenavn. Men denne version er i det store hele identisk med den gamle .abcd-version med undtagelse af nogle revisioner i backend.
Variant 3 – . LockBit-version 2
2.0-versionen af LockBit kræver ikke længere download af Tor-browseren i dens instruktioner til løsepenge. I stedet sender den ofrene til et andet websted via traditionel internetadgang.
Løbende opdateringer til og revisioner af LockBit
For nylig er LockBit blevet optimeret med mere skadelige funktioner såsom at delegere og administrere administrative rettighedskontrolpunkter. LockBit deaktiverer tillige nu de sikkerhedsmeddelelser, som brugerne får vist, når et program forsøger at køre som administrator.
Desuden er malwaren nu konfigureret til at stjæle kopier af serverdata og indeholder desuden yderligere afpresningslinjer i løsepengenoten. Hvis offeret ikke følger instrukserne, truer LockBit nu med at offentliggøre offerets private data.
Fjernelse og dekryptering af LockBit
Hvis din virksomhed allerede er inficeret, får du ikke adgangen til dine filer tilbage blot ved at fjerne LockBit-ransomwaren. Du har stadig brug for et værktøj til at gendanne dit system, da krypteringen kræver en “nøgle”, før du kan låse den op. Alternativt kan du muligvis gendanne dine systemer med en genafbildning, hvis du i forvejen har oprettet sikkerhedskopier af systemafbildningen, FØR infektionen skete.
Sådan beskytter du dig mod LockBit-ransomware
I sidste ende skal du iværksætte en række beskyttelsesforanstaltninger for at sikre, at din virksomhed er modstandsdygtig over for ransomware eller skadelige angreb fra kilden. Her er et par fremgangsmåder, der kan hjælpe dig med forberedelsen:
- Brug stærke adgangskoder. Mange databrud opstår på grund af adgangskoder, der er nemme at gætte, eller som er enkle nok til, at et algoritmeværktøj kan knække dem i løbet af få dage. Sørg for at vælge en sikker adgangskode, f.eks. ved at bruge længere adgangskoder med tegnvariationer og oprette særlige regler til adgangsudtryk.
Stærke adgangkoder forhindrer anvendelsen af Brute Force metoden, som er en database over alle kendte adgangskoder og brugernavne. Når først systemet er inde på et netværk er der ofte ikke begrænsninger såsom at lukke for adgang til den der forsøger efter 3 gange med forkerte adgangskoder. - Aktiver multifaktorautentificering. Forebyg brute force-angreb ved at tilføje et lag oven på dine første adgangskodebaserede logins. Medtag foranstaltninger som biometri eller fysiske USB-nøgle autentifikatorer på alle systemer, hvor det er muligt.
- Revurder og simplificer brugerkontorettighederne. Begræns rettigheder til de højere adgangsniveauer, så I begrænser potentielle trusler fra at kunne passere uhindret. Vær særlig opmærksom på de adgangsniveauer, der tilgås af slutpunktsbrugere og IT-konti med rettigheder på administratorniveau. Webdomæner, samarbejdsplatforme, webmødetjenester og virksomhedsdatabaser skal alle sikres.
- Ryd ud i forældede og ubrugte brugerkonti. Nogle ældre systemer kan have konti liggende fra tidligere medarbejdere, der aldrig er blevet deaktiveret og lukket. I bør gennemgå jeres systemer og fjerne disse potentielle svaghedspunkter.
- Sørg for, at systemkonfigurationerne lever op til alle sikkerhedsprocedurer. Det kan tage tid, men processen med at gennemgå eksisterende opsætninger kan påvise nye problemer og forældede politikker, der udsætter virksomheden for angreb. Standarddriftsprocedurer skal revurderes med jævne mellemrum, så de er opdateret i forhold til nye cybertrusler.
- Sørg altid for at have taget sikkerhedskopier af hele systemet og rene lokale maskinafbildninger. Der kan altid ske hændelser, og den eneste sande beskyttelse mod permanent datatab er en offlinekopi. Med jævne mellemrum skal virksomheden oprette sikkerhedskopier for være opdateret med vigtige systemændringer. Hvis en sikkerhedskopi bliver inficeret af malware, skal I overveje at have flere roterende sikkerhedskopieringspunkter for altid at have mulighed for at vælge en ikke-inficeret periode.
Hvad sker der når Lockbit aktiveres?
LockBit ransomware kan sprede sig på flere måder. Det kan leveres via phishing-e-mails, der ofte udgør jobtilbud eller meddelelser om krænkelse af ophavsretten. Det kan sprede sig ved hjælp af stjålne VPN- og RDP-legitimationsoplysninger. LockBit kan spredes automatisk ved at drage fordel af Windows PowerShell og Server Message Block. Det har også spredt sig via en nul-dages sårbarhed i Microsoft Exchange.
LockBit kan distribueres som en inficeret Word-fil, en eksekverbar ved hjælp af Word-doc-ikonet eller et tilsløret PowerShell-script.
Når ransomware er på en maskine, starter Lockbit flere samtidige tråde (jobs), der gør følgende:
- At standse Windows Defender.
- Erstat filer i papirkurven med tilfældigt genererede data, og slet dem derefter, så de ikke kan gendannes.
- Overvåg SQL brugere og afslut SQL-processen.
- Slet skyggekopier.
- Skriv løsesum noter.
- Krypter filer ved hjælp af Salsa-20 algoritme.
- Se efter domænecontrollere, og forsøg at logge ind på dem eksternt.
- Se efter tilsluttede drev og delte netværksressourcer, og forsøg at kryptere filer på dem.
- Kommuniker med C2-server(e) med kommando og kontrol (C2) over TLS 1.2 for at kryptere trafik.
LockBit startede med at målrette mod Windows-maskiner og udvidede senere til også at målrette Linux-servere, herunder VMWARE ESXi-servere.
Anvendes Lockbit som spion software?
Der er ikke meget der tyder på dette, men forudsat at Lockbit er en statsstøttet russisk virksomhed, kan Rusland med fordel anvende RAAS servicen til overvågning alene. Det er ikke afklaret om spionsoftware delen, hvor man alene henter data og ser på dem er anvendt, i så fald skal Lockbit softwaren undlade at kryptere data og slå Windows Defender til igen.
- Kilde: Icare Security A/S, Kaspersky og Trend Micro
- Fotokredit: Stock.adobe.com med tilladelse (abonnement)