LockBit zsarolóvírus


2023. március 21. 11:33

Összefoglaló

A LockBit zsarolóvírus titkosítja a számítógép lemezén található adatokat, így akadályozva meg a felhasználót az eszköze használatában és az adatihoz való hozzáférésben. A káros kód üzemeltetői váltságdíjat kérhetnek az adatok visszaállításhoz szükséges dekriptáló kulcsokért cserébe.

Leírás

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére, hálózati hozzáférést szerez és oldalirányú terjedéssel más – a hálózatban résztvevő – eszközöket is célba vesz. Működése során felhasználói azonosítkat és egyéb kiemelt jogosultságú hitelesítő adatokat gyűjt.

Viselkedés

A fertőzött gépen a LockBit szkenneli a fájlokat és titkosítja azok tartalmát. A zsarolóvírus pszeudo-randomizált névvel látja el az instrukciókat tartalmazó állományt.

Terjedés

A LockBit leggyakrabban emberi interakciót igénylő zsarolóvírus kampányok során kerül  a céleszközökre. A káros kód jellemzően rosszindulatú e-mail üzenetek csatolmányaként jut el a felhasználókhoz. A csatolmány megnyitásával, valamint a web-böngésző vagy más internetes szolgáltatás szoftversérülékenység kihasználásával a malware települ az áldozat eszközére

Első futás

A felkonfigurálás futtatáskor, több lépésben történik, és a következő információkat tartalmazhatja:

  • szolgáltatások, processzek listája, amelyet le kell állítani;
  • zsarolólevél;
  • hash lista az engedélyezett mappákról és fálj kiterjesztésekről.

 

A LockBit képes “Csökkentett üzemmódban” is elindulni, illetve képes oldalirányú terjedéssel más eszközöket is célba venni a helyi hálózaton belül.

 

Megoldás

Javaslatok

  • Megoldásként javasolt a hálózatok jelszóházirendjének szigorítása.
  • Az operációs rendszeren és a telepített alkalmazásokon mindig telepíteni kell a legújabb frissítéseket.
  • Az alkalmazott vírusvédelmi eszközhöz mindig telepíteni kell a legújabb frissítéseket.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg! Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a VirusTotal oldalra feltöltve.
  • Blokkolja az összes URL- és IP-alapú IoC-t a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál!
  • A zsarolóvírus támadások megelőzéséhez az NBSZ NKI javasolja az intézet weboldalán innen elérhető segédlet megtekintését.

Támadás típusa

Ransomware

Hivatkozások

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/LockBit
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware

Legfrissebb sérülékenységek
CVE-2026-27636 – FreeScout sérülékenysége
CVE-2026-28289 – FreeScout sérülékenysége
CVE-2026-21385 – Qualcomm integer overflow sérülékenysége
CVE-2026-26935 – Kibana sérülékenység
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21902 – Junos OS Evolved sérülékenység
CVE-2026-22719 – VMware Aria Operations sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
Tovább a sérülékenységekhez »