Το LockBit, μία από τις πλέον διαβόητες κατηγορίες ransomware στον κόσμο, επέκτεινε πρόσφατα τις δραστηριότητές του, ενισχύοντας τη λειτουργικότητα σε πολλαπλές πλατφόρμες. Το LockBit απέκτησε φήμη παγκοσμίως ως συνέπεια των πολλαπλών κυβερνοεπιθέσεων σε επιχειρήσεις, οι οποίες τις επιβάρυναν με περαιτέρω λειτουργικά έξοδα.
Στα αρχικά του στάδια, το LockBit λειτουργούσε χωρίς πύλες διαρροής, τακτικές εκβιασμού ή υποκλοπή δεδομένων προτού ξεκινήσει τη διαδικασία κρυπτογράφησης των δεδομένων των θυμάτων. Ωστόσο, η ομάδα ανέπτυσσε συνεχώς την υποδομή της και τα μέτρα ασφαλείας για την προστασία των περιουσιακών της στοιχείων από διάφορες απειλές, συμπεριλαμβανομένων επιθέσεων στα panel διαχείρισης και κατανεμημένων επιθέσεων τύπου DDoS.
Η κοινότητα της κυβερνοασφάλειας αναγνώρισε ότι το LockBit υιοθετεί κώδικα από άλλες ομάδες ransomware, όπως οι BlackMatter και DarkSide. Αυτή η κίνηση όχι μόνο διευκολύνει τη διαδικασία και για τις υπόλοιπες κατηγορίες, αλλά επεκτείνει και το φάσμα των δυνητικών στόχων του LockBit. Πρόσφατα ευρήματα του Kaspersky’s Threat Attribution Engine (KTAE) ανέδειξαν πως το LockBit ενσωμάτωσε περίπου το 25% του κώδικα που χρησιμοποιούσε το μη λειτουργικό πλέον ransomware Conti. Το αποτέλεσμα ήταν η δημιουργία μιας νέας παραλλαγής γνωστής ως LockBit Green.
Παράλληλα, οι ερευνητές της Kaspersky ανακάλυψαν ένα αρχείο ZIP που περιέχει δείγματα LockBit ειδικά προσαρμοσμένα σε πολλαπλές δομές, συμπεριλαμβανομένων των Apple M1, ARM v6, ARM v7, και FreeBSD μεταξύ άλλων. Μέσω ενδελεχούς ανάλυσης και διερεύνησης με τη χρήση του KTAE, επιβεβαίωσαν ότι αυτά τα δείγματα προέρχονται από την έκδοση LockBit Linux/ESXi που είχε εμφανιστεί και προηγουμένως.
Παρόλο που σε ορισμένα παραδείγματα, όπως η παραλλαγή macOS, απαιτούνται πρόσθετες ρυθμίσεις και δεν αναγνωρίζονται σωστά, είναι προφανές ότι το LockBit δοκιμάζει ενεργά το ransomware του σε διάφορες πλατφόρμες, γεγονός που υποδηλώνει μια επικείμενη επέκταση των επιθέσεων. Η εξέλιξη αυτή υπογραμμίζει την επείγουσα ανάγκη να παρθούν ισχυρά μέτρα ασφάλειας σε όλες τις πλατφόρμες και να τονιστεί η σημασία της αυξημένης επαγρύπνησης της επιχειρηματικής κοινότητας.
«Το LockBit είναι μια δραστήρια και γνώριμη κατηγορία ransomware, διαβόητη για τις ολέθριες κυβερνοεπιθέσεις του σε επιχειρήσεις σε όλον τον κόσμο. Με τις συνεχείς βελτιώσεις της υποδομής του και την ενσωμάτωση κώδικα από άλλα είδη ransomware, το LockBit αποτελεί μια εξελισσόμενη απειλή για εταιρείες σε διάφορους κλάδους. Είναι επιτακτική ανάγκη για τις επιχειρήσεις να ενισχύσουν τις άμυνές τους, να ενημερώνουν τακτικά τα συστήματα ασφαλείας, να εκπαιδεύσουν τους υπαλλήλους τους αναφορικά με βέλτιστες πρακτικές κυβερνοασφάλειας θεσπίζοντας πρωτόκολλα αντιμετώπισης περιστατικών για να μετριάσουν αποτελεσματικά τους κινδύνους που εγκυμονούν το LockBit και παρόμοιες κατηγορίες ransomware», σχολιάζει ο Marc Rivero, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.
Προστασία από επιθέσεις ransomware
Για να προστατευτείτε εσείς και η επιχείρησή σας από επιθέσεις ransomware, η Kaspersky συνιστά τα παρακάτω:
- Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε ώστε να αποτρέψετε τους επιτιθέμενους να εκμεταλλευτούν τα τρωτά σημεία και να εισέλθουν στο δίκτυό σας.
- Επικεντρώστε την αμυντική σας στρατηγική στον εντοπισμό κινήσεων και διαρροών δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στις ενημερώσεις για να εντοπίζετε τις συνδέσεις των κυβερνοεγκληματιών στο δίκτυό σας. Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.
- Ενεργοποιήστε την προστασία από ransomware σε όλα τα τερματικά σημεία. Διατίθεται το δωρεάν Kaspersky Anti-Ransomware Tool for Business που προστατεύει τους υπολογιστές και τους διακομιστές από ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει τα exploits και είναι συμβατό με τις ήδη εγκατεστημένες λύσεις ασφαλείας.
- Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες δίνουν τη δυνατότητα για προηγμένη ανίχνευση και διερεύνηση απειλών, προσφέροντας και έγκαιρη αποκατάσταση.
- Παρέχετε στη SOC ομάδα σας πρόσβαση στην πιο πρόσφατη πληροφόρηση απειλών.