LockBit zsarolóvírus


2023. március 21. 11:33

Összefoglaló

A LockBit zsarolóvírus titkosítja a számítógép lemezén található adatokat, így akadályozva meg a felhasználót az eszköze használatában és az adatihoz való hozzáférésben. A káros kód üzemeltetői váltságdíjat kérhetnek az adatok visszaállításhoz szükséges dekriptáló kulcsokért cserébe.

Leírás

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére, hálózati hozzáférést szerez és oldalirányú terjedéssel más – a hálózatban résztvevő – eszközöket is célba vesz. Működése során felhasználói azonosítkat és egyéb kiemelt jogosultságú hitelesítő adatokat gyűjt.

Viselkedés

A fertőzött gépen a LockBit szkenneli a fájlokat és titkosítja azok tartalmát. A zsarolóvírus pszeudo-randomizált névvel látja el az instrukciókat tartalmazó állományt.

Terjedés

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére

Első futás

A felkonfigurálás futtatáskor, több lépésben történik, és a következő információkat tartalmazhatja:

  • szolgáltatások, processzek listája, amelyet le kell állítani;
  • zsarolólevél;
  • hash lista az engedélyezett mappákról és fálj kiterjesztésekről.

 

A LockBit képes “Csökkentett üzemmódban” is elindulni, illetve képes oldalirányú terjedéssel más eszközöket is célba venni a helyi hálózaton belül.

 

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg! Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a VirusTotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál!
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/LockBit
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »