LockBit zsarolóvírus


2023. március 21. 11:33

Összefoglaló

A LockBit zsarolóvírus titkosítja a számítógép lemezén található adatokat, így akadályozva meg a felhasználót az eszköze használatában és az adatihoz való hozzáférésben. A káros kód üzemeltetői váltságdíjat kérhetnek az adatok visszaállításhoz szükséges dekriptáló kulcsokért cserébe.

Leírás

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére, hálózati hozzáférést szerez és oldalirányú terjedéssel más – a hálózatban résztvevő – eszközöket is célba vesz. Működése során felhasználói azonosítkat és egyéb kiemelt jogosultságú hitelesítő adatokat gyűjt.

Viselkedés

A fertőzött gépen a LockBit szkenneli a fájlokat és titkosítja azok tartalmát. A zsarolóvírus pszeudo-randomizált névvel látja el az instrukciókat tartalmazó állományt.

Terjedés

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére

Első futás

A felkonfigurálás futtatáskor, több lépésben történik, és a következő információkat tartalmazhatja:

  • szolgáltatások, processzek listája, amelyet le kell állítani;
  • zsarolólevél;
  • hash lista az engedélyezett mappákról és fálj kiterjesztésekről.

 

A LockBit képes “Csökkentett üzemmódban” is elindulni, illetve képes oldalirányú terjedéssel más eszközöket is célba venni a helyi hálózaton belül.

 

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg! Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a VirusTotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál!
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/LockBit
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »