Ransomware nadal stanowi jedno z najpoważniejszych zagrożeń cyfrowych, z jakimi borykają się zarówno osoby prywatne, jak i organizacje. Nowoczesne warianty oprogramowania ransomware służą nie tylko do szyfrowania plików, ale także do wykradania poufnych informacji, zmuszając ofiary do zapłaty dużych sum pieniędzy. Zachowanie czujności, dbanie o solidną cyberhigienę i wdrażanie wielowarstwowych zabezpieczeń ma kluczowe znaczenie w obliczu dzisiejszych, dynamicznie zmieniających się zagrożeń. Jednym z najgroźniejszych ostatnich zjawisk w tym obszarze jest ransomware LockBit 5.0.
LockBit 5.0: dopracowana i potężna wersja
LockBit 5.0 to najnowsza wersja rodziny ransomware LockBit, bazująca bezpośrednio na kodzie LockBit 4.0, a jednocześnie wprowadzająca udoskonalenia utrudniające jego wykrycie i ochronę przed nim. Po uruchomieniu szyfruje pliki w systemie i dodaje do każdej nazwy pliku unikalne, losowe, 16-znakowe rozszerzenie. Na przykład plik o nazwie „1.png” staje się „1.png.db9785905a3cad2c”. Oprócz szyfrowania, w zainfekowanych katalogach umieszcza żądanie okupu o nazwie „ReadMeForDecrypt.txt”.
W liście z żądaniem okupu ofiary informują, że ich pliki i dane zostały naruszone. Żądają zapłaty w kryptowalucie, zazwyczaj za pośrednictwem sieci Tor, i ostrzegają, że skradzione informacje zostaną ujawnione, jeśli płatność nie zostanie uiszczona. Ofiary proszone są o niekontaktowanie się z władzami, a atakujący próbują wzbudzić w nich strach i poczucie pilności.
Wyrafinowane możliwości i taktyki
LockBit 5.0 zawiera udoskonalenia techniczne, które pokazują dojrzałość twórców ransomware:
Dostosowanie dla partnerów : Wersja ransomware dla systemu Windows oferuje bardziej przejrzysty i elastyczny interfejs, umożliwiając partnerom wybór metod szyfrowania i celów.
Techniki anty-analizy : wyłączają niektóre funkcje śledzenia systemu Windows, aby utrudnić badania nad złośliwym oprogramowaniem.
Działanie międzyplatformowe : Oprócz systemu Windows LockBit 5.0 obejmuje niebezpieczne warianty systemów Linux i VMware ESXi, które potrafią szyfrować całe środowiska wirtualne.
Selektywne unikanie : unika systemów zlokalizowanych w Rosji lub pokrewnych regionach poprzez przeprowadzanie kontroli geolokalizacji.
Mimo że LockBit 5.0 został zaprezentowany jako wydanie główne, wykorzystuje on znaczące części kodu LockBit 4.0, takie jak algorytmy haszujące i dynamiczne rozwiązywanie problemów API, przez co jest raczej przyrostową, ale niebezpieczną aktualizacją.
Wektory dystrybucji: jak rozprzestrzenia się LockBit 5.0
Operatorzy LockBit wykorzystują różnorodne metody infekcji, aby zmaksymalizować zasięg. Oprogramowanie ransomware jest najczęściej rozprzestrzeniane poprzez:
Złośliwe załączniki e-mail lub linki podszywające się pod legalne dokumenty. Oszukańcze lub zainfekowane strony internetowe, w tym fałszywe portale pomocy technicznej. Wykorzystywanie niezałatanych luk w zabezpieczeniach oprogramowania. Kampanie reklamowe wykorzystujące złośliwe oprogramowanie, pirackie oprogramowanie i nielegalne generatory kluczy. Sieci peer-to-peer, zewnętrzne programy do pobierania aplikacji i niezweryfikowane sklepy z aplikacjami. Dzięki takiemu wielotorowemu podejściu atakujący mogą atakować zarówno pojedyncze osoby, jak i systemy przedsiębiorstw, co zwiększa prawdopodobieństwo wyrządzenia rozległych szkód.
Wzmocnienie obrony przed oprogramowaniem ransomware
Obrona przed zaawansowanym ransomware, takim jak LockBit 5.0, wymaga proaktywnych i wielowarstwowych środków bezpieczeństwa. Użytkownicy i organizacje powinni stosować połączenie zabezpieczeń technicznych i praktyk bezpiecznego przeglądania stron internetowych. Do najskuteczniejszych strategii należą:
Aktualizuj systemy : niezwłocznie instaluj poprawki systemu operacyjnego i oprogramowania, aby wyeliminować podatne na wykorzystanie luki w zabezpieczeniach.
Stosuj solidną ochronę punktów końcowych : wdrażaj sprawdzone rozwiązania antywirusowe i wykrywające zagrożenia w punktach końcowych, które potrafią identyfikować zaawansowane zagrożenia.
Korzystaj z poczty e-mail i Internetu w sposób bezpieczny : zachowaj ostrożność w przypadku niechcianych załączników, linków i plików do pobrania z niezweryfikowanych źródeł.
Zachowaj kopie zapasowe offline : przechowuj ważne pliki w bezpiecznych lokalizacjach offline, aby mieć pewność, że zostaną odzyskane bez konieczności płacenia okupu.
Zastosuj dostęp z minimalnymi uprawnieniami : ogranicz uprawnienia użytkowników i segmentuj sieci, aby powstrzymać potencjalne ataki ransomware.
Włącz uwierzytelnianie wieloskładnikowe (MFA) : chroń konta przed kradzieżą danych uwierzytelniających.
Regularnie edukuj użytkowników : Niezbędne jest przeszkolenie personelu i osób w zakresie rozpoznawania prób phishingu i socjotechniki.
Ostatnie myśli
LockBit 5.0 pokazuje, jak grupy ransomware nieustannie udoskonalają swoje narzędzia, aby zmaksymalizować ich skuteczność. Jego zdolność do szyfrowania całych środowisk, unikania analizy i wywierania presji psychologicznej na ofiary sprawia, że jest to szczególnie destrukcyjne zagrożenie. Najskuteczniejszą obroną jest prewencja, łącząca najnowsze technologie, niezawodne strategie tworzenia kopii zapasowych i świadomość użytkowników. Wdrażając te wielowarstwowe środki bezpieczeństwa, użytkownicy i organizacje znacznie zmniejszają ryzyko stania się ofiarą niszczycielskich ataków ransomware.
System Messages
The following system messages may be associated with LockBit 5.0 Ransomware:
~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~
>>>>> You must pay us.
Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit
>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!
>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.
>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.
>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.
>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.
>>>>> You need to contact us via TOR sites with your personal ID
Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.
Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.
Version: ChuongDong v1.01 | x64
Technical Analysis of LockBit 5.0
The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.
It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.
"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.
Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.
Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.
The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.
As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.
The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.
The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.
This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.
|
