آشنایی با باج افزار LockBit 3.0 و نحوه مقابله با آن

دزدی، اخاذی، باج گیری و جعل هویت در فضای مجازی بسیار زیاد است و هر ماه هزاران نفر قربانی کلاهبرداری ها و حملات مختلف می شوند. یکی از این حالت‌های حمله از نوعی باج‌افزار به نام LockBit 3.0 استفاده می‌کند. بنابراین، این باج افزار از کجا آمده است، چگونه از آن استفاده می شود، و برای محافظت از خود چه کاری می توانید انجام دهید؟

LockBit 3.0 از کجا آمد؟

LockBit 3.0 (همچنین به عنوان LockBit Black شناخته می شود) گونه ای از باج افزار است که از خانواده LockBit به وجود آمده است. این گروهی از برنامه های باج افزار است که برای اولین بار در سپتامبر 2019 و پس از وقوع اولین موج حملات کشف شد. در ابتدا، LockBit به عنوان “ویروس abcd.” شناخته می شد، اما در آن مرحله، مشخص نبود که سازندگان و کاربران LockBit به ایجاد تکرارهای جدید از برنامه باج افزار اصلی ادامه دهند.

خانواده برنامه‌های باج‌افزار LockBit خود به خود منتشر می‌شوند، اما فقط قربانیان خاصی هدف قرار می‌گیرند – عمدتاً آنهایی که توانایی پرداخت باج بزرگ را دارند. کسانی که از باج‌افزار LockBit استفاده می‌کنند، اغلب دسترسی به پروتکل دسکتاپ از راه دور (RDP) را در دارک وب خریداری می‌کنند تا بتوانند از راه دور و راحت‌تر به دستگاه‌های قربانیان دسترسی داشته باشند.

اپراتورهای LockBit اولین استفاده از آن را در سازمان های سراسر جهان از جمله بریتانیا، آمریکا، اوکراین و فرانسه مورد هدف قرار داده‌اند. این خانواده از برنامه‌های مخرب از مدل Ransomware-as-a-Service (RaaS) استفاده می‌کنند که در آن کاربران می‌توانند برای دسترسی به نوع خاصی از باج‌افزار به اپراتورها پول بدهند. این اغلب شامل نوعی اشتراک است. گاهی اوقات، کاربران حتی می توانند آمار را بررسی کنند تا ببینند آیا استفاده آنها از باج افزار LockBit موفقیت آمیز بوده یا خیر.

تا سال 2021 بود که LockBit از طریق LockBit 2.0 (سلف نوع فعلی) به یک باج افزار رایج تبدیل شد. در این مرحله، باندهایی که از این باج افزار استفاده می کردند، تصمیم گرفتند مدل اخاذی مضاعف را اتخاذ کنند. این شامل رمزگذاری و استخراج (یا انتقال) فایل های قربانی به دستگاه دیگر است. این روش حمله اضافی کل وضعیت را برای فرد یا سازمان هدف ترسناک تر می کند. جدیدترین نوع باج افزار LockBit با نام LockBit 3.0 شناسایی شده است. بنابراین، LockBit 3.0 چگونه کار می کند و امروزه چگونه از آن استفاده می شود؟

LockBit 3.0 چیست؟

در اواخر بهار 2022، تکرار جدیدی از گروه باج افزار LockBit کشف شد: LockBit 3.0. به عنوان یک برنامه باج افزار، LockBit 3.0 می تواند تمام فایل های موجود در یک دستگاه آلوده را رمزگذاری و استخراج کرده و به مهاجم اجازه دهد تا داده های قربانی را ظاهراً تا زمان پرداخت باج درخواستی گروگان نگه دارد. این باج افزار اکنون فعال بوده و نگرانی های زیادی را ایجاد کرده است.

فرآیند یک حمله معمولی LockBit 3.0 به شرح زیر است:

1. LockBit 3.0 دستگاه قربانی را آلوده، فایل‌ها را رمزگذاری و پسوند فایل‌های رمزگذاری‌شده را به عنوان «HLjkNskOq» اضافه می‌کند.
2. سپس یک کلید آرگومان خط فرمان معروف به “-pass” برای انجام رمزگذاری مورد نیاز است.
3. LockBit 3.0 رشته های مختلفی را برای انجام چندین کار به طور همزمان ایجاد می کند تا رمزگذاری داده ها در زمان کمتری تکمیل شود.
4. LockBit 3.0 خدمات یا ویژگی‌های خاصی را حذف می‌کند تا فرآیند رمزگذاری و استخراج را بسیار آسان‌تر کند.
5. یک API برای دسترسی به پایگاه داده مدیر کنترل سرویس استفاده می شود.
6. والپیپر دسکتاپ قربانی تغییر می کند تا بداند مورد حمله قرار گرفته است.

اگر قربانی در بازه زمانی مورد نیاز باج را پرداخت نکند، مهاجمان LockBit 3.0 داده‌هایی را که در دارک وب دزدیده‌اند به سایر مجرمان سایبری می‌فروشند. این می تواند هم برای یک قربانی فردی و هم برای یک سازمان فاجعه بار باشد. این نرم افزار همچنین می تواند زنجیره ای از آلودگی های بدافزار را در چندین دستگاه ایجاد کند. در این فرآیند، ابزار خط فرمان MpCmdRun.exe مورد سوء استفاده قرار می گیرد تا مهاجم بتواند بیکن ها را رمزگشایی و راه اندازی کند. این کار با فریب دادن سیستم برای اولویت بندی و بارگذاری یک DLL مخرب (Dynamic-Link Library) انجام می شود.

فایل اجرایی MpCmdRun.exe توسط Windows Defender برای اسکن بدافزار استفاده می شود، بنابراین از دستگاه در برابر فایل ها و برنامه های مضر محافظت می کند. با توجه به اینکه Cobalt Strike می تواند اقدامات امنیتی ویندوز دینفدر را دور بزند، برای مهاجمان باج افزار بسیار مفید شده است. این تکنیک به عنوان بارگذاری جانبی نیز شناخته می شود و به طرف های مخرب اجازه می دهد تا داده های دستگاه های آلوده را ذخیره یا سرقت کنند.

چگونه از باج افزار LockBit 3.0 دوری کنیم؟

LockBit 3.0 یک نگرانی فزاینده است، به ویژه در میان سازمان های بزرگتر که دارای انبوهی از داده ها هستند که می توانند رمزگذاری و استخراج شوند. مهم است که اطمینان حاصل کنید که از این نوع حمله خطرناک دور هستید. برای انجام این کار، ابتدا باید مطمئن شوید که از رمزهای عبور فوق العاده قوی و احراز هویت دو مرحله ای در تمام حساب های خود استفاده می کنید.

این لایه امنیتی افزوده می‌تواند حمله مجرمان سایبری به شما را با استفاده از باج‌افزار بسیار سخت‌تر کند. به عنوان مثال، حملات باج افزار پروتکل دسکتاپ از راه دور را در نظر بگیرید. در چنین سناریویی، مهاجم اینترنت را برای اتصالات آسیب پذیر RDP اسکن می کند. بنابراین، اگر اتصال شما با رمز عبور محافظت می شود و از 2FA استفاده می کند، احتمال اینکه هدف قرار بگیرید بسیار کمتر است.

علاوه بر این، همیشه باید سیستم عامل و برنامه های آنتی ویروس دستگاه خود را به روز نگه دارید. بروزرسانی نرم افزار می تواند زمان بر و خسته کننده باشد، اما دلیلی وجود دارد. چنین بروزرسانی‌هایی اغلب با رفع اشکال و ویژگی‌های امنیتی اضافی برای محافظت از دستگاه‌ها و داده‌های شما همراه هستند، بنابراین فرصت را از دست ندهید تا دستگاه‌های خود را به‌روز نگه دارید.

یکی دیگر از اقدامات مهمی که برای جلوگیری از حملات باج‌افزار، بلکه از پیامدهای آن، باید انجام داد، پشتیبان‌گیری از فایل‌ها است. گاهی اوقات، مهاجمان باج‌افزار اطلاعات مهمی را که شما به دلایل مختلف به آن نیاز دارید، پنهان می‌کنند، بنابراین داشتن یک نسخه پشتیبان، میزان آسیب را تا حدی کاهش می‌دهد. کپی‌های آفلاین، مانند آنهایی که روی یک حافظه USB ذخیره می‌شوند، زمانی که داده‌ها از دستگاه شما به سرقت می‌رود یا پاک می‌شوند، می‌توانند ارزشمند باشند.

اقدامات پس از سرایت

در حالی که پیشنهادات بالا می تواند از شما در برابر باج افزار LockBit محافظت کند، هنوز احتمال سرایت وجود دارد. بنابراین، اگر متوجه شدید رایانه شما توسط LockBit 3.0 آلوده شده، مهم است که غیرمنطقی عمل نکنید. مراحلی وجود دارد که می توانید برای حذف باج افزار از دستگاه خود انجام دهید که باید آنها را به دقت و با دقت دنبال کنید. همچنین اگر قربانی یک حمله باج افزار شده اید، باید به مقامات هشدار دهید. این به طرف های مربوطه کمک می کند تا نوع خاصی از باج افزار را بهتر درک کنند و با آن مقابله کنند.

هیچ کس نمی داند چند بار دیگر از باج افزار LockBit 3.0 برای تهدید و سوء استفاده از قربانیان استفاده می شود. به همین دلیل بسیار مهم است که از دستگاه ها و حساب های خود به هر طریق ممکن محافظت کنید تا داده های حساس شما ایمن بمانند.