Tartalomjegyzék
Kulcs elvitelek
- A bűnüldözési erőfeszítések megzavarták a LockBit infrastruktúráját és társult hálózatát, de más zsarolóvírus-csoportok készen állnak a beavatkozásra.
- A LockBit eltávolításában részt vevő szervezetek megkezdték a visszafejtő eszközök kiadását az áldozatok számára, de a helyreállítás nem garantált.
- A LockBit megszűnése ellenére új zsarolóvírus-csoportok jelennek meg, amelyek helyére öt figyelemre méltó típus készül.
Az elmúlt években a LockBit az egyik leghírhedtebb ransomware banda volt, amely több száz millió dollárt zsarolt ki, és eközben óriási mennyiségű adatot pazarol el.
Most azonban az egyesített bűnüldözési erőfeszítések jelentősen megzavarták a LockBit infrastruktúráját, megszüntették a webhelyét, és felfedték a leányvállalati hálózatát és kriptovaluta-állományát. Sajnos ez nem jelenti azt, hogy a zsarolóprogramok szünetet tartanak, mivel rengeteg más zsarolóvírus várja, hogy betöltse az űrt.
Mi az a LockBit Ransomware?
A zsarolóprogramok a rosszindulatú programok egyik legrosszabb típusa, amely leállítja a gépet, és fizetést követel, hogy sértetlenül kiadja adatait.
A LockBit egy bűnözői csoport, amely ugyanazon a néven kezeli, üzemelteti és terjeszti a zsarolóprogramokat. A LockBit ransomware hírhedt, és világszerte több tízezer vállalkozást, szervezetet és rendszeres embert sújtott, és ezzel potenciálisan dollármilliárdokat kereshet.
A LockBit különösen veszélyes, mivel önmagában szaporodik – vagyis magától terjedhet, ami szinte egyedülállóvá teszi a zsarolóvírusok között. Emiatt rendkívül nehéz megállítani a LockBit ransomware támadást, mivel a zsarolóprogram emberi beavatkozás nélkül képes azonosítani más sebezhető célpontokat.
Ezen túlmenően a LockBit csoport rendszeresen frissítéseket ad ki zsarolóprogramjaihoz, új funkciókat ad hozzá, és módosítja a funkcióit, reagálva a hatékonyságát fenyegető veszélyekre. A LockBit 3.0 volt az utolsó jelentős frissítés, amely 2022 júniusában jelent meg.
Mi történt a LockBittel?
2024. február 19-én a bűnüldöző szervek, köztük az FBI, az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége és az Europol felfedték, hogy egy kombinált művelet súlyosan megzavarta a LockBit szervezetét.
A „Cronos művelet” kizárta a LockBit tulajdonosait és leányvállalatait (igen, a LockBitnek volt egy társult hálózata a ransomware-t használva, és százalékot fizetett a fejlesztőknek, szolgáltatási modellként ransomware-t használva) a saját hálózatából, mintegy 11 000 domaint és szervert eltávolítva a hálózatból. a folyamat. Két LockBit fejlesztőt is letartóztattak, míg más LockBit társfelhasználókat is letartóztattak ugyanezen művelet részeként.
Alapján CISA2022-ben az Egyesült Államokban, az Egyesült Királyságban, Kanadában, Ausztráliában és Új-Zélandon tapasztalt összes zsarolóvírus-támadás több mint 15 százalékát a LockBit támadások tették ki, ami fenomenális adat. De mivel a LockBit elsődleges adminisztrációs fiókja és platformja a hatóságok ellenőrzése alatt áll, a hálózat elindításának és vezérlésének képessége gyakorlatilag megszűnt.
Mikor válnak elérhetővé a LockBit visszafejtő eszközök?
A LockBit eltávolításában részt vevő szervezetek némelyike gyorsan haladva már megkezdte a LockBit visszafejtő eszközök kiadását és LockBit visszafejtő kulcsok biztosítását az áldozatok számára.
- US/FBI: Forduljon az FBI-hoz, hogy megszerezze a kulcsokat LockBit áldozatai
- UK/NCA: Forduljon az NCA-hoz a kulcsok beszerzéséhez ezen az e-mailen keresztül: [email protected]
- Egyéb/Europol, udvarias (NL) Kövesse a Lockbit 3.0 visszafejtésére vonatkozó utasításokat Nincs több váltságdíj
Nincs garancia arra, hogy sikeresen visszaállítja a LockBittel titkosított fájlokat, de mindenképpen megér egy próbát, különösen azért, mert a LockBit nem mindig küldte el a megfelelő visszafejtési kulcsot, még váltságdíj kifizetése után sem.
5 fajta zsarolóvírus, amely felváltja a LockBit
A LockBit óriási mennyiségű zsarolóvírusért volt felelős, de messze nem ez az egyetlen működő zsarolóprogram-csoport. A LockBit megszűnése valószínűleg rövid életű vákuumot teremt más zsarolóvírus-csoportok számára, amelyekbe beköltözhetnek. Ezt szem előtt tartva, itt van öt különböző típusú zsarolóprogram, amelyekre figyelni kell:
- ALPHV/BlackCat: Egy másik zsarolóvírus, mint szolgáltatási modell, az ALPHV/BlackCat szervezetek százait sértette szerte a világon. Különösen figyelemre méltó, mint a zsarolóvírusok egyik első típusa, amely teljesen a Rust programozási nyelven íródott, ami segít a Windows és Linux hardverek megcélzásában.
- Cl0p: A Cl0p szervezet legalább 2019 óta működik, és a becslések szerint több mint 500 millió dollárnyi váltságdíjat zsarolt ki. A Cl0p általában kiszűri az érzékeny adatokat, amelyeket aztán arra használnak fel, hogy váltságdíjat fizessenek áldozataira, mind a titkosított adatok felszabadítására, mind az érzékeny adatok kiszivárgásának megakadályozására.
- Play/PlayCrypt: Az egyik újabb ransomware-típus, a Play (más néven PlayCrypt) 2022-ben jelent meg először, és a ransomware-támadások során használt „.play” fájlkiterjesztéséről nevezetes. A Cl0p-hez hasonlóan a Play csoport is kettős zsarolási taktikájáról ismert, és a sebezhetőségek széles skáláját alkalmazza áldozatainak leleplezésére.
- Royal: Bár a Royal szolgáltatási modellként üzemeltet egy ransomware-t, az információit és kódját nem osztja meg ugyanúgy, mint a többi zsarolóprogram-csoport. Más csoportokhoz hasonlóan azonban a Royal is több zsarolási taktikát alkalmaz, adatokat lop, és váltságdíjat zsarol ki.
- 8Base: A 8Base hirtelen megjelent 2023 közepén, a zsarolóvírus-tevékenység megugrásával, számos zsarolási típussal, valamint szoros kapcsolatokkal más jelentős zsarolóprogram-csoportokkal, például a RansomHouse-szal.
Malwarebytes kutatás azt mutatja, hogy míg a LockBit a zsarolóvírusok egyik legtermékenyebb típusa volt, a tíz legnagyobb zsarolóvírus-szervezet felelős az összes zsarolóvírus-támadás 70 százalékáért. Tehát még a LockBit nélkül is a ransomware a szárnyakon vár.
A LockBit Ransomware teljesen elkészült?
Bármennyire is elképesztő a LockBit megszűnésének híre, nem, a LockBit ransomware nincs teljesen a földben. Ars Technica új LockBit támadásokról számol be napokkal az eltávolítás után, és ennek több oka is van.
Az egyik, bár a LockBit infrastruktúráját leépítették, ez nem jelenti azt, hogy a ransomware kód nem létezik. A LockBit forráskódjának egy verziója 2022-ben kiszivárgott, és lehet, hogy ez vezetett az új támadásokhoz. Ezenkívül a LockBit hatalmas hálózattal rendelkezett, amely számos országra kiterjedt. Míg tevékenységi bázisa Oroszországra összpontosult, egy ekkora és kifinomult szervezetnek mindenképpen vannak biztonsági mentései és módszerei az internetre való visszatéréshez, még akkor is, ha az újjáépítés egy kis időt vesz igénybe.
Kétségtelenül nem láttuk az utolsó LockBit ransomware-t.