Išpirkos reikalaujanti programinė įranga ir toliau išlieka viena didžiausių skaitmeninių grėsmių, su kuria susiduria tiek asmenys, tiek organizacijos. Šiuolaikinės jos versijos yra skirtos ne tik šifruoti failus, bet ir išgauti slaptą informaciją, priverčiant aukas mokėti dideles pinigų sumas. Budrumas, stipri kibernetinė higiena ir daugiasluoksnės apsaugos įgyvendinimas yra labai svarbūs šiandieninėje besikeičiančioje grėsmių aplinkoje. Vienas pavojingiausių pastarojo meto pokyčių šioje srityje yra „LockBit 5.0“ išpirkos reikalaujanti programinė įranga.
„LockBit 5.0“: patobulintas ir galingas variantas
„LockBit 5.0“ yra naujausia „LockBit“ išpirkos reikalaujančių programų šeimos evoliucija, sukurta tiesiogiai remiantis „LockBit 4.0“ kodo baze, tačiau įdiegus patobulinimus, kurie apsunkina aptikimą ir apsaugą. Paleidus programą, ji užšifruoja failus visoje sistemoje ir prie kiekvieno failo pavadinimo prideda unikalų, atsitiktinį 16 simbolių plėtinį. Pavyzdžiui, failas pavadinimu „1.png“ tampa „1.png.db9785905a3cad2c“. Kartu su šifravimu paveiktuose kataloguose palieka išpirkos raštelį pavadinimu „ReadMeForDecrypt.txt“.
Išpirkos raštelyje aukos informuojamos, kad jų failai ir duomenys buvo pažeisti. Jame reikalaujama sumokėti kriptovaliuta, paprastai bendraujant per „Tor“, ir įspėjama, kad nesumokėjus pavogta informacija bus nutekinta. Aukos raginamos nesikreipti į valdžios institucijas, o užpuolikai bando įvaryti baimę ir skubos jausmą.
Išplėstinės galimybės ir taktika
„LockBit 5.0“ apima techninius patobulinimus, kurie parodo išpirkos reikalaujančių programų kūrėjų brandą:
Partnerių pritaikymas : išpirkos reikalaujančios programinės įrangos „Windows“ versija siūlo švaresnę ir lankstesnę sąsają, leidžiančią partneriams pasirinkti šifravimo metodus ir taikinius.
Antianalizės metodai : išjungia tam tikras „Windows“ sekimo funkcijas, kad būtų trukdoma kenkėjiškų programų tyrimams.
Skirtumas kelioms platformoms : Be „Windows“, „LockBit 5.0“ apima pavojingus „Linux“ ir „VMware ESXi“ variantus, galinčius užšifruoti ištisas virtualias aplinkas.
Atrankinis vengimas : sistema vengia sistemų, esančių Rusijoje ar susijusiuose regionuose, atlikdama geolokacijos patikrinimus.
Nors „LockBit 5.0“ pristatomas kaip pagrindinis leidimas, jis pakartotinai panaudoja reikšmingas „LockBit 4.0“ kodo dalis, pvz., maišos algoritmus ir dinaminę API skiriamąją gebą, todėl tai yra labiau laipsniškas, tačiau pavojingas atnaujinimas.
Pasiskirstymo vektoriai: kaip plinta „LockBit 5.0“
„LockBit“ operatoriai naudoja įvairius užkrėtimo metodus, kad maksimaliai padidintų aprėptį. Išpirkos reikalaujanti programa dažniausiai platinama per:
Kenkėjiški el. laiškų priedai arba nuorodos, apsimetančios teisėtais dokumentais. Apgaulingos arba pažeistos svetainės, įskaitant netikrus techninės pagalbos portalus. Neištaisytų programinės įrangos pažeidžiamumų išnaudojimas. Kenkėjiškos reklamos kampanijos, piratinė programinė įranga ir nelegalūs raktų generatoriai. Lygiaverčių tinklų, trečiųjų šalių atsisiuntimo programų ir nepatvirtintų programėlių parduotuvių. Šis daugialypis metodas leidžia užpuolikams taikytis tiek į asmenis, tiek į įmonių sistemas, padidinant didelės žalos tikimybę.
Apsaugos nuo išpirkos reikalaujančių programų stiprinimas
Apsisaugojimas nuo sudėtingų išpirkos reikalaujančių programų, tokių kaip „LockBit 5.0“, reikalauja aktyvių ir daugiasluoksnių saugumo priemonių. Vartotojai ir organizacijos turėtų taikyti techninių apsaugos priemonių ir saugaus naršymo praktikų derinį. Kai kurios veiksmingiausios strategijos apima:
Nuolat atnaujinkite sistemas : nedelsdami diegkite operacinės sistemos ir programinės įrangos pataisas, kad pašalintumėte pažeidžiamumus, kuriuos galima išnaudoti.
Naudokite patikimą galinių taškų apsaugą : Įdiekite patikimus antivirusinius ir galinių taškų aptikimo sprendimus, galinčius nustatyti sudėtingas grėsmes.
Saugiai naudokitės el. paštu ir internetu : Būkite atsargūs dėl nepageidaujamų priedų, nuorodų ir atsisiuntimų iš nepatikrintų šaltinių.
Kurkite atsargines kopijas neprisijungus : svarbius failus saugokite saugiose, neprisijungus pasiekiamose vietose, kad galėtumėte juos atkurti nemokėdami išpirkos.
Taikyti mažiausiai privilegijų turinčią prieigą : apriboti naudotojų teises ir segmentuoti tinklus, kad būtų galima sustabdyti galimus išpirkos reikalaujančių programų protrūkius.
Įgalinti daugiafaktorinį autentifikavimą (MFA) : Apsaugokite paskyras nuo pažeidimo dėl pavogtų prisijungimo duomenų.
Reguliariai švieskite vartotojus : labai svarbu apmokyti darbuotojus ir asmenis atpažinti sukčiavimo ir socialinės inžinerijos bandymus.
Baigiamosios mintys
„LockBit 5.0“ pabrėžia, kaip išpirkos reikalaujančių programų grupės nuolat tobulina savo įrankius, siekdamos maksimalaus poveikio. Jos gebėjimas užšifruoti ištisas aplinkas, išvengti analizės ir daryti psichologinį spaudimą aukoms daro ją ypač žalinga grėsme. Patikimiausia gynyba yra prevencija, derinant atnaujintas technologijas, atsparias atsarginių kopijų kūrimo strategijas ir vartotojų informuotumą. Įdiegdami šias daugiasluoksnes saugumo priemones, vartotojai ir organizacijos gerokai sumažina savo tikimybę tapti niokojančių išpirkos reikalaujančių programų atakų aukomis.
System Messages
The following system messages may be associated with „LockBit 5.0“ išpirkos reikalaujanti programa:
~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~
>>>>> You must pay us.
Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit
>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!
>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.
>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.
>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.
>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.
>>>>> You need to contact us via TOR sites with your personal ID
Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.
Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.
Version: ChuongDong v1.01 | x64
Technical Analysis of LockBit 5.0
The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.
It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.
"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.
Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.
Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.
The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.
As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.
The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.
The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.
This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.
|
