LockBit zsarolóvírus


2023. március 21. 11:33

Összefoglaló

A LockBit zsarolóvírus titkosítja a számítógép lemezén található adatokat, így akadályozva meg a felhasználót az eszköze használatában és az adatihoz való hozzáférésben. A káros kód üzemeltetői váltságdíjat kérhetnek az adatok visszaállításhoz szükséges dekriptáló kulcsokért cserébe.

Leírás

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére, hálózati hozzáférést szerez és oldalirányú terjedéssel más – a hálózatban résztvevő – eszközöket is célba vesz. Működése során felhasználói azonosítkat és egyéb kiemelt jogosultságú hitelesítő adatokat gyűjt.

Viselkedés

A fertőzött gépen a LockBit szkenneli a fájlokat és titkosítja azok tartalmát. A zsarolóvírus pszeudo-randomizált névvel látja el az instrukciókat tartalmazó állományt.

Terjedés

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére

Első futás

A felkonfigurálás futtatáskor, több lépésben történik, és a következő információkat tartalmazhatja:

  • szolgáltatások, processzek listája, amelyet le kell állítani;
  • zsarolólevél;
  • hash lista az engedélyezett mappákról és fálj kiterjesztésekről.

 

A LockBit képes “Csökkentett üzemmódban” is elindulni, illetve képes oldalirányú terjedéssel más eszközöket is célba venni a helyi hálózaton belül.

 

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg! Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a VirusTotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál!
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/LockBit
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware

Legfrissebb sérülékenységek
CVE-2024-27867 – Apple AirPods és Beats Firmware sérülékenység
CVE-2024-5276 – Fortra FileCatalyst sérülékenység
CVE-2024-5805 – MOVEit Gateway sérülékenység
CVE-2024-5806 – MOVEit Transfer sérülékenység
CVE-2024-28397 – js2py sandbox escape sérülékenység
CVE-2024-6103 – Google Chrome sérülékenysége
CVE-2024-6102 – Google Chrome sérülékenysége
CVE-2024-6101 – Google Chrome sérülékenysége
CVE-2024-6100 – Google Chrome sérülékenysége
CVE-2024-37081 – VMware vCenter Server sérülékenysége
Tovább a sérülékenységekhez »