Roubo, extorsão, chantagem e falsificação de identidade são comuns online, com milhares de pessoas sendo vítimas de vários golpes e ataques todos os meses. Um desses modos de ataque usa um tipo de ransomware conhecido como LockBit 3.0. Então, de onde veio esse ransomware, como ele está sendo usado e o que você pode fazer para se proteger?

De onde veio o LockBit 3.0?

LockBit 3.0 (também conhecido como LockBit Black) é uma variedade de ransomware da família de ransomware LockBit. Este é um grupo de programas de ransomware que foi descoberto pela primeira vez em setembro de 2019, após a primeira onda de ataques. Inicialmente, o LockBit era conhecido como o "vírus .abcd", mas naquele momento não se sabia que Os criadores e usuários do LockBit continuariam a criar novas iterações do ransomware original programa.

A família de programas de ransomware da LockBit é auto-difundida, mas apenas algumas vítimas são visadas, principalmente aquelas com a capacidade de pagar um grande resgate. Aqueles que usam o ransomware LockBit geralmente compram acesso ao Remote Desktop Protocol (RDP) na dark web para que possam acessar os dispositivos das vítimas remotamente e com mais facilidade.

Os operadores da LockBit têm como alvo organizações em todo o mundo desde seu primeiro uso, incluindo Reino Unido, EUA, Ucrânia e França. Esta família de programas maliciosos usa o Ransomware como serviço (RaaS) modelo, em que os usuários podem pagar aos operadores para ter acesso a um determinado tipo de ransomware. Isso geralmente envolve alguma forma de assinatura. Às vezes, os usuários podem até verificar as estatísticas para ver se o uso do LockBit ransomware foi bem-sucedido.

Não foi até 2021 que o LockBit se tornou um tipo predominante de ransomware, através do LockBit 2.0 (o antecessor da cepa atual). Neste ponto, as gangues que usaram este ransomware decidiram adotar o modelo de dupla extorsão. Isso envolve criptografar e exfiltrar (ou transferir) os arquivos de uma vítima para outro dispositivo. Esse método de ataque adicional torna toda a situação ainda mais assustadora para o indivíduo ou organização alvo.

O tipo mais recente de ransomware LockBit foi identificado como LockBit 3.0. Então, como o LockBit 3.0 funciona e como ele está sendo usado hoje?

O que é LockBit 3.0?

No final da primavera de 2022, uma nova iteração do grupo de ransomware LockBit foi descoberta: LockBit 3.0. Como um programa de ransomware, o LockBit 3.0 pode criptografar e exfiltrar todos os arquivos em um dispositivo infectado, permitindo que o invasor mantenha os dados da vítima como reféns aparentemente até que o resgate solicitado seja pago. Este ransomware agora está ativo em estado selvagem e está causando muita preocupação.

O processo de um ataque típico do LockBit 3.0 é:

  1. O LockBit 3.0 infecta o dispositivo da vítima, criptografa arquivos e anexa a extensão dos arquivos criptografados como “HLjkNskOq”.
  2. Uma chave de argumento de linha de comando conhecida como "-pass" é então necessária para realizar a criptografia.
  3. O LockBit 3.0 cria vários threads para executar várias tarefas simultaneamente para que a criptografia de dados possa ser concluída em menos tempo.
  4. O LockBit 3.0 exclui certos serviços ou recursos para tornar o processo de criptografia e exfiltração muito mais fácil.
  5. Uma API é usada para abrigar o acesso ao banco de dados do gerenciador de controle de serviço.
  6. O papel de parede da área de trabalho da vítima é alterado para que ela saiba que está sob ataque.

Se o resgate não for pago pela vítima na janela de tempo necessária, os invasores do LockBit 3.0 venderão os dados que roubaram na dark web para outros cibercriminosos. Isso pode ser catastrófico tanto para uma vítima individual quanto para uma organização.

No momento em que escrevo, o LockBit 3.0 é mais notável por explorando o Windows Defender para implantar o Cobalt Strike, uma ferramenta de teste de penetração que pode eliminar cargas úteis. Esse software também pode causar uma cadeia de infecções por malware em vários dispositivos.

Nesse processo, a ferramenta de linha de comando MpCmdRun.exe é explorada para que o invasor possa descriptografar e iniciar os beacons. Isso é feito enganando o sistema para priorizar e carregar uma DLL maliciosa (Dynamic-Link Library).

O arquivo executável MpCmdRun.exe é usado pelo Windows Defender para verificar malware, protegendo o dispositivo contra arquivos e programas prejudiciais. Dado que o Cobalt Strike pode contornar as medidas de segurança do Windows Defender, tornou-se muito útil para invasores de ransomware.

Essa técnica também é conhecida como side-loading e permite que partes mal-intencionadas abriguem ou roubem dados de dispositivos infectados.

Como evitar o LockBit 3.0 Ransomware

O LockBit 3.0 é uma preocupação crescente, especialmente entre organizações maiores que possuem montes de dados que podem ser criptografados e exfiltrados. é importante garantir que você esteja evitando esse tipo perigoso de ataque.

Para fazer isso, primeiro verifique se está usando senhas superfortes e autenticação de dois fatores em todas as suas contas. Essa camada adicional de segurança pode tornar muito mais difícil para os cibercriminosos atacar você usando ransomware. Considerar Ataques de ransomware do Remote Desktop Protocol, por exemplo. Nesse cenário, o invasor verificará a Internet em busca de conexões RDP vulneráveis. Portanto, se sua conexão for protegida por senha e usar 2FA, é muito menos provável que você seja alvo.

Além disso, você deve sempre manter os sistemas operacionais e os programas antivírus de seus dispositivos atualizados. As atualizações de software podem ser demoradas e frustrantes, mas há uma razão para elas existirem. Essas atualizações geralmente vêm com correções de bugs e recursos de segurança extras para manter seus dispositivos e dados protegidos, portanto, não perca a oportunidade de manter seus dispositivos atualizados.

Outra medida importante a ser tomada não para evitar ataques de ransomware, mas suas consequências, é fazer backup de arquivos. Às vezes, os invasores de ransomware retêm informações cruciais de que você precisa por vários motivos, portanto, ter um backup reduz até certo ponto a extensão dos danos. As cópias offline, como as armazenadas em um pendrive, podem ser valiosas quando os dados são roubados ou apagados do seu dispositivo.

Medidas pós-infecção

Embora as sugestões acima possam protegê-lo contra o ransomware LockBit, ainda há uma chance de infecção. Portanto, se você descobrir que seu computador foi infectado pelo LockBit 3.0, é importante não agir irracionalmente. Existem passos que você pode tomar para remover ransomware do seu dispositivo, que você deve seguir de perto e com cuidado.

Você também deve alertar as autoridades se for vítima de um ataque de ransomware. Isso ajuda as partes relevantes a entender e lidar melhor com uma determinada variedade de ransomware.

Ataques LockBit 3.0 podem continuar

Ninguém sabe quantas vezes mais o ransomware LockBit 3.0 será usado para ameaçar e explorar as vítimas. É por isso que é crucial proteger seus dispositivos e contas de todas as maneiras possíveis, para que seus dados confidenciais permaneçam seguros.