Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Phần mềm tống tiền LockBit 5.0

Phần mềm tống tiền LockBit 5.0

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Ransomware tiếp tục là một trong những mối đe dọa kỹ thuật số nghiêm trọng nhất mà cả cá nhân và tổ chức phải đối mặt. Các biến thể hiện đại không chỉ được thiết kế để mã hóa tệp mà còn đánh cắp thông tin nhạy cảm, buộc nạn nhân phải trả số tiền lớn. Việc luôn cảnh giác, duy trì an ninh mạng mạnh mẽ và triển khai các biện pháp phòng thủ nhiều lớp là vô cùng quan trọng trong bối cảnh các mối đe dọa đang không ngừng biến đổi hiện nay. Một trong những diễn biến nguy hiểm nhất gần đây trong lĩnh vực này là Ransomware LockBit 5.0.

LockBit 5.0: Một phiên bản hoàn thiện và mạnh mẽ

LockBit 5.0 là phiên bản mới nhất của dòng ransomware LockBit, được xây dựng trực tiếp trên cơ sở mã nguồn LockBit 4.0 đồng thời giới thiệu những cải tiến giúp việc phát hiện và giảm thiểu mã độc trở nên khó khăn hơn. Sau khi được thực thi, mã độc sẽ mã hóa các tệp trên toàn hệ thống và thêm một phần mở rộng 16 ký tự ngẫu nhiên, duy nhất vào mỗi tên tệp. Ví dụ: một tệp có tên '1.png' sẽ trở thành '1.png.db9785905a3cad2c'. Cùng với việc mã hóa, mã độc còn thả một ghi chú đòi tiền chuộc có tiêu đề 'ReadMeForDecrypt.txt' vào các thư mục bị ảnh hưởng.

Thông báo đòi tiền chuộc thông báo cho nạn nhân rằng các tệp và dữ liệu của họ đã bị xâm phạm. Thông báo yêu cầu thanh toán bằng tiền điện tử, thường thông qua giao tiếp qua Tor, và cảnh báo rằng thông tin bị đánh cắp sẽ bị rò rỉ nếu không thanh toán. Nạn nhân được khuyến cáo không liên hệ với chính quyền, trong khi những kẻ tấn công cố gắng gieo rắc nỗi sợ hãi và cảm giác cấp bách.

Khả năng và chiến thuật tinh vi

LockBit 5.0 kết hợp các cải tiến kỹ thuật chứng minh sự trưởng thành của các nhà phát triển ransomware:

Tùy chỉnh cho các chi nhánh : Bản dựng Windows của ransomware cung cấp giao diện gọn gàng và linh hoạt hơn, cho phép các chi nhánh lựa chọn phương pháp và mục tiêu mã hóa.

Kỹ thuật chống phân tích : Vô hiệu hóa một số tính năng theo dõi của Windows để cản trở việc nghiên cứu phần mềm độc hại.

Nhắm mục tiêu đa nền tảng : Ngoài Windows, LockBit 5.0 bao gồm các biến thể Linux và VMware ESXi nguy hiểm có khả năng mã hóa toàn bộ môi trường ảo hóa.

Tránh có chọn lọc : Tránh các hệ thống ở Nga hoặc các khu vực liên quan bằng cách thực hiện kiểm tra vị trí địa lý.

Mặc dù được giới thiệu là bản phát hành chính, LockBit 5.0 vẫn tái sử dụng các phần quan trọng của mã LockBit 4.0, chẳng hạn như thuật toán băm và giải quyết API động, khiến nó trở thành bản nâng cấp gia tăng nhưng nguy hiểm hơn.

Các vectơ phân phối: Cách LockBit 5.0 lan truyền

Những kẻ tấn công LockBit dựa vào nhiều phương thức lây nhiễm khác nhau để tối đa hóa phạm vi tiếp cận. Mã độc tống tiền thường lây lan qua:

  • Tệp đính kèm email hoặc liên kết độc hại giả dạng tài liệu hợp pháp.
  • Các trang web lừa đảo hoặc bị xâm phạm, bao gồm cả cổng hỗ trợ kỹ thuật giả mạo.
  • Khai thác lỗ hổng phần mềm chưa được vá.
  • Các chiến dịch quảng cáo độc hại, phần mềm vi phạm bản quyền và trình tạo khóa bất hợp pháp.
  • Mạng ngang hàng, trình tải xuống của bên thứ ba và cửa hàng ứng dụng chưa được xác minh.

Cách tiếp cận đa hướng này cho phép kẻ tấn công nhắm vào cả cá nhân và hệ thống doanh nghiệp, làm tăng khả năng gây ra thiệt hại trên diện rộng.

Tăng cường khả năng phòng thủ của bạn trước Ransomware

Việc phòng thủ trước các phần mềm tống tiền tinh vi như LockBit 5.0 đòi hỏi các biện pháp bảo mật chủ động và đa lớp. Người dùng và tổ chức nên áp dụng kết hợp các biện pháp bảo vệ kỹ thuật và thực hành duyệt web an toàn. Một số chiến lược hiệu quả nhất bao gồm:

Cập nhật hệ thống thường xuyên : Áp dụng bản vá hệ điều hành và phần mềm kịp thời để vá các lỗ hổng có thể khai thác.

Sử dụng biện pháp bảo vệ điểm cuối mạnh mẽ : Triển khai các giải pháp phát hiện điểm cuối và phần mềm diệt vi-rút uy tín có khả năng xác định các mối đe dọa nâng cao.

Thực hành sử dụng email và web an toàn : Hãy cảnh giác với các tệp đính kèm, liên kết và nội dung tải xuống không mong muốn từ các nguồn chưa được xác minh.

Duy trì bản sao lưu ngoại tuyến : Lưu trữ các tệp quan trọng ở những vị trí ngoại tuyến an toàn để đảm bảo phục hồi mà không phải trả tiền chuộc.

Áp dụng quyền truy cập ít đặc quyền nhất : Giới hạn quyền của người dùng và phân đoạn mạng để ngăn chặn nguy cơ bùng phát phần mềm tống tiền.

Bật xác thực đa yếu tố (MFA) : Bảo vệ tài khoản khỏi bị xâm phạm thông qua thông tin đăng nhập bị đánh cắp.

Thường xuyên giáo dục người dùng : Việc đào tạo nhân viên và cá nhân để nhận biết các nỗ lực lừa đảo và tấn công kỹ thuật xã hội là điều cần thiết.

Suy nghĩ cuối cùng

LockBit 5.0 nhấn mạnh cách các nhóm ransomware liên tục tinh chỉnh công cụ để đạt hiệu quả tối đa. Khả năng mã hóa toàn bộ môi trường, tránh bị phân tích và gây áp lực tâm lý lên nạn nhân khiến nó trở thành một mối đe dọa đặc biệt nguy hiểm. Biện pháp phòng thủ đáng tin cậy nhất là phòng ngừa, kết hợp công nghệ cập nhật, chiến lược sao lưu mạnh mẽ và nâng cao nhận thức của người dùng. Bằng cách triển khai các biện pháp bảo mật nhiều lớp này, người dùng và tổ chức giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công ransomware tàn khốc.

System Messages

The following system messages may be associated with Phần mềm tống tiền LockBit 5.0:

~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~

>>>>> You must pay us.

Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit

>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!

>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.

>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.

>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.

>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.

>>>>> You need to contact us via TOR sites with your personal ID

Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.

Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.

Version: ChuongDong v1.01 | x64

Technical Analysis of LockBit 5.0

The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.

It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.

"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.

Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.

Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.

The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.

As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.

The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.

The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.

This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.

xu hướng

Tin nhắn lừa đảo qua email đang chờ bạn chú ý

Lừa đảo, Thư rác
Email vẫn là một trong những phương thức tấn công phổ biến nhất của tội phạm mạng, và các vụ lừa đảo được ngụy trang dưới dạng thông báo tài khoản đặc biệt nguy hiểm. Một trong những chiến dịch lừa đảo như vậy là email lừa đảo "Tin nhắn đang chờ bạn chú ý", lừa người nhận truy cập vào các trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập nhạy cảm. Việc hiểu rõ cách thức hoạt động...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
34,616
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...