LockBit zsarolóvírus


2023. március 21. 11:33

Összefoglaló

A LockBit zsarolóvírus titkosítja a számítógép lemezén található adatokat, így akadályozva meg a felhasználót az eszköze használatában és az adatihoz való hozzáférésben. A káros kód üzemeltetői váltságdíjat kérhetnek az adatok visszaállításhoz szükséges dekriptáló kulcsokért cserébe.

Leírás

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére, hálózati hozzáférést szerez és oldalirányú terjedéssel más – a hálózatban résztvevő – eszközöket is célba vesz. Működése során felhasználói azonosítkat és egyéb kiemelt jogosultságú hitelesítő adatokat gyűjt.

Viselkedés

A fertőzött gépen a LockBit szkenneli a fájlokat és titkosítja azok tartalmát. A zsarolóvírus pszeudo-randomizált névvel látja el az instrukciókat tartalmazó állományt.

Terjedés

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére

Első futás

A felkonfigurálás futtatáskor, több lépésben történik, és a következő információkat tartalmazhatja:

  • szolgáltatások, processzek listája, amelyet le kell állítani;
  • zsarolólevél;
  • hash lista az engedélyezett mappákról és fálj kiterjesztésekről.

 

A LockBit képes “Csökkentett üzemmódban” is elindulni, illetve képes oldalirányú terjedéssel más eszközöket is célba venni a helyi hálózaton belül.

 

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg! Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a VirusTotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál!
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/LockBit
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »