Знижка на кілька ліцензій
База даних загроз програми-вимагачі Програма-вимагач LockBit 5.0

Програма-вимагач LockBit 5.0

До Mezo року в програми-вимагачі році
Перекласти на:

Програми-вимагачі продовжують залишатися однією з найсерйозніших цифрових загроз, з якими стикаються як окремі особи, так і організації. Сучасні варіанти призначені не лише для шифрування файлів, але й для вилучення конфіденційної інформації, змушуючи жертв платити великі суми грошей. Пильність, підтримка суворої кібергігієни та впровадження багаторівневого захисту є критично важливими в сучасному світі загроз, що постійно змінюється. Однією з найнебезпечніших нещодавніх розробок у цій галузі є програма-вимагач LockBit 5.0.

LockBit 5.0: Відшліфований та потужний варіант

LockBit 5.0 – це найновіша еволюція сімейства програм-вимагачів LockBit, що базується безпосередньо на кодовій базі LockBit 4.0, але водночас впроваджує вдосконалення, які ускладнюють виявлення та усунення наслідків. Після запуску програма шифрує файли в системі та додає унікальне, рандомізоване 16-символьне розширення до кожного імені файлу. Наприклад, файл з назвою «1.png» стає «1.png.db9785905a3cad2c». Поряд із шифруванням, вона залишає повідомлення з вимогою викупу під назвою «ReadMeForDecrypt.txt» у уражених каталогах.

У записці з вимогою викупу жертв повідомляється про те, що їхні файли та дані були скомпрометовані. У ній вимагається оплата в криптовалюті, зазвичай через зв'язок через Tor, і попереджається, що викрадена інформація буде розголошена, якщо платіж не буде здійснено. Жертв закликають не звертатися до влади, оскільки зловмисники намагаються вселити страх і відчуття невідкладності.

Складні можливості та тактика

LockBit 5.0 містить технічні вдосконалення, які демонструють зрілість розробників програм-вимагачів:

Налаштування для афілійованих осіб : Збірка програми-вимагача для Windows пропонує чистіший та гнучкіший інтерфейс, що дозволяє афілійованим особам вибирати методи та цілі шифрування.

Методи антианалізу : вимикає певні функції трасування Windows, щоб перешкоджати дослідженню шкідливих програм.

Міжплатформне таргетування : Окрім Windows, LockBit 5.0 містить небезпечні варіанти для Linux та VMware ESXi, здатні шифрувати цілі віртуалізовані середовища.

Вибіркове уникнення : система уникає систем, розташованих у Росії або пов'язаних регіонах, шляхом перевірки геолокації.

Незважаючи на те, що LockBit 5.0 представлений як головний реліз, він повторно використовує значні частини коду LockBit 4.0, такі як алгоритми хешування та динамічне розділення API, що робить його радше поступовим, але небезпечним оновленням.

Вектори поширення: Як поширюється LockBit 5.0

Оператори LockBit покладаються на різноманітні методи зараження, щоб максимізувати охоплення. Програма-вимагач зазвичай поширюється через:

  • Шкідливі вкладення електронної пошти або посилання, що видаються за справжні документи.
  • Шахрайські або скомпрометовані вебсайти, включаючи фальшиві портали технічної підтримки.
  • Використання невиправлених вразливостей програмного забезпечення.
  • Шкідливі рекламні кампанії, піратське програмне забезпечення та незаконні генератори ключів.
  • Однорангові мережі, сторонні завантажувачі та неперевірені магазини додатків.

Такий багатогранний підхід дозволяє зловмисникам атакувати як окремих осіб, так і корпоративні системи, що збільшує ймовірність широкомасштабної шкоди.

Посилення вашого захисту від програм-вимагачів

Захист від складних програм-вимагачів, таких як LockBit 5.0, вимагає проактивних та багаторівневих заходів безпеки. Користувачі та організації повинні застосовувати поєднання технічних заходів безпеки та практик безпечного перегляду веб-сторінок. Деякі з найефективніших стратегій включають:

Оновлюйте системи : своєчасно встановлюйте оновлення операційної системи та програмного забезпечення, щоб усунути вразливості, що можуть бути використані.

Використовуйте надійний захист кінцевих точок : розгортайте надійні антивірусні рішення та рішення для виявлення кінцевих точок, здатні виявляти складні загрози.

Практикуйте безпечне використання електронної пошти та веб-сторінок : остерігайтеся небажаних вкладень, посилань та завантажень з неперевірених джерел.

Зберігайте резервні копії офлайн : зберігайте важливі файли в безпечних офлайн-сховищах, щоб забезпечити їх відновлення без сплати викупу.

Застосовувати доступ з найменшими привілеями : обмежувати дозволи користувачів і сегментувати мережі для стримування потенційних спалахів програм-вимагачів.

Увімкнути багатофакторну автентифікацію (MFA) : захист облікових записів від компрометації через викрадені облікові дані.

Регулярно навчайте користувачів : навчання персоналу та окремих осіб розпізнаванню фішингу та спроб соціальної інженерії є надзвичайно важливим.

Заключні думки

LockBit 5.0 підкреслює, як групи програм-вимагачів постійно вдосконалюють свої інструменти для досягнення максимального ефекту. Його здатність шифрувати цілі середовища, уникати аналізу та чинити психологічний тиск на жертв робить його особливо руйнівною загрозою. Найнадійнішим захистом є запобігання, що поєднує оновлені технології, стійкі стратегії резервного копіювання та обізнаність користувачів. Впроваджуючи ці багаторівневі заходи безпеки, користувачі та організації значно знижують свої шанси стати жертвами руйнівних атак програм-вимагачів.

System Messages

The following system messages may be associated with Програма-вимагач LockBit 5.0:

~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~

>>>>> You must pay us.

Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit

>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!

>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.

>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.

>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.

>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.

>>>>> You need to contact us via TOR sites with your personal ID

Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.

Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.

Version: ChuongDong v1.01 | x64

Technical Analysis of LockBit 5.0

The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.

It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.

"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.

Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.

Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.

The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.

As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.

The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.

The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.

This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.

В тренді

Дослідники знайшли серйозний недолік у банківській... скріншот

Дослідники знайшли серйозний недолік у банківській...

Комп'ютерна безпека
Дослідницька група з питань кібербезпеки виявила значну вразливість у платформі фінансових послуг, яка вже реалізована у великій кількості банківських систем. Команда з Salt Labs виявила серйозний...

Шахрайство електронною поштою з повідомленнями, що...

Фішинг, Спам
Електронна пошта залишається одним із найпоширеніших векторів атак для кіберзлочинців, а шахрайство, замасковане під сповіщення облікового запису, є особливо небезпечним. Однією з таких шахрайських кампаній є електронна афера «Повідомлення, що очікують вашої уваги», яка обманом змушує одержувачів відвідувати фішингові сайти, призначені для крадіжки конфіденційних облікових даних. Розуміння...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
34,616
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...