Se você se mantém atualizado sobre as ameaças de segurança cibernética, provavelmente está ciente de como o ransomware se tornou perigosamente popular. Esse tipo de malware é uma grande ameaça para indivíduos e organizações, com certas cepas agora se tornando a principal escolha para agentes mal-intencionados, incluindo o LockBit.
Então, o que é o LockBit, de onde veio e como você pode se proteger dele?
O que é o LockBit Ransomware?
Embora o LockBit tenha começado como uma única variedade de ransomware, ele evoluiu várias vezes, com a versão mais recente sendo conhecida como "LockBit 3.0" (que discutiremos um pouco mais adiante). LockBit abrange uma família de programas de ransomware, que operam usando o Ransomware como serviço (RaaS) modelo.
Ransomware-as-a-Service é um modelo de negócios que envolve usuários pagando pelo acesso a um determinado tipo de ransomware para que possam usá-lo para seus próprios ataques. Com isso, os usuários se tornam afiliados e seu pagamento pode envolver uma taxa fixa ou um serviço baseado em assinatura. Em suma, os criadores do LockBit encontraram uma maneira de lucrar ainda mais com seu uso empregando esse modelo RaaS e podem até receber uma parte do resgate pago pelas vítimas.
Vários outros programas de ransomware podem ser acessados por meio do modelo RaaS, incluindo DarkSide e REvil. Além disso, o LockBit é um dos tipos de ransomware mais populares usados atualmente.
Dado que o LockBit é uma família de ransomware, seu uso envolve a criptografia dos arquivos de um alvo. Os cibercriminosos se infiltram no dispositivo da vítima de uma forma ou de outra, talvez por meio de um e-mail de phishing ou anexo e usará o LockBit para criptografar todos os arquivos no dispositivo para que fiquem inacessíveis ao do utilizador.
Depois que os arquivos da vítima forem criptografados, o invasor exigirá um resgate em troca da chave de descriptografia. Se a vítima não cumprir e pagar o resgate, é provável que o invasor venda os dados na dark web para obter lucro. Dependendo de quais são os dados, isso pode causar danos irreversíveis à privacidade de um indivíduo ou organização, o que pode aumentar a pressão de pagar o resgate.
Mas de onde veio esse ransomware altamente perigoso?
As origens do LockBit Ransomware
Não se sabe exatamente quando o LockBit foi desenvolvido, mas sua história reconhecida remonta a 2019, quando foi encontrado pela primeira vez. Essa descoberta ocorreu após a primeira onda de ataques do LockBit, quando o ransomware foi inicialmente denominado "ABCD" em referência ao nome da extensão dos arquivos criptografados explorados durante os ataques. Mas quando os invasores começaram a usar a extensão de arquivo ".lockbit", o nome do ransomware mudou para o que é hoje.
A popularidade do LockBit aumentou após o desenvolvimento de sua segunda iteração, LockBit 2.0. No final de 2021, o LockBit 2.0 foi cada vez mais usado por afiliados para ataques e, após o desligamento de outras gangues de ransomware, a LockBit conseguiu aproveitar a lacuna no mercado.
De fato, o aumento do uso do LockBit 2.0 solidificou sua posição como "o mais impactante e amplamente implantado variante de ransomware que observamos em todas as violações de ransomware durante o primeiro trimestre de 2022", de acordo com uma Relatório de Palo Alto. Além disso, Palo Alto afirmou no mesmo relatório que os operadores do LockBit afirmam ter o software de criptografia mais rápido de qualquer ransomware atualmente ativo.
O ransomware LockBit foi detectado em vários países em todo o mundo, incluindo China, EUA, França, Ucrânia, Reino Unido e Índia. Várias grandes organizações também foram visadas usando o LockBit, incluindo a Accenture, uma empresa de serviços profissionais irlandesa-americana.
A Accenture sofreu uma violação de dados como resultado do uso do LockBit em 2021, com os invasores exigindo um resgate gigantesco de US$ 50 milhões, com mais de 6 TB de dados sendo criptografados. A Accenture não concordou em pagar esse resgate, embora a empresa afirme que nenhum cliente foi afetado pelo ataque.
LockBit 3.0 e seus riscos
À medida que a popularidade do LockBit aumenta, cada nova iteração é uma preocupação séria. A versão mais recente do LockBit, conhecida como LockBit 3.0, já se tornou um problema, especificamente nos sistemas operacionais Windows.
No verão de 2022, o LockBit 3.0 foi usado para carregar cargas úteis prejudiciais de Cobalt Strike em dispositivos de destino por meio da exploração do Windows Defender. Nesta onda de ataques, um arquivo de linha de comando executável conhecido como MpCmdRun.exe foi abusado, para que os beacons Cobalt Strike possam ignorar a detecção de segurança.
O LockBit 3.0 também foi usado na exploração de uma linha de comando VMWare conhecida como VMwareXferlogs.exe para implantar novamente as cargas úteis do Cobalt Strike. Não se sabe se esses ataques continuarão ou evoluirão para algo totalmente diferente.
É evidente que o LockBit ransomware é de alto risco, como é o caso de muitos programas de ransomware. Então, como você pode se manter seguro?
Como se proteger do LockBit Ransomware
Dado que o LockBit ransomware deve primeiro estar presente no seu dispositivo para criptografar os arquivos, você precisa tentar cortá-lo na fonte e evitar completamente a infecção. Embora seja difícil garantir sua proteção contra ransomware, há muito que você pode fazer para evitar o máximo possível.
Em primeiro lugar, é essencial que você nunca baixe nenhum arquivo ou programa de software de sites que não sejam totalmente legítimos. Baixar qualquer tipo de arquivo não verificado para o seu dispositivo pode dar a um invasor de ransomware acesso fácil aos seus arquivos. Certifique-se de usar apenas sites confiáveis e bem revisados para seus downloads ou lojas de aplicativos oficiais para instalação de software.
Outro fator a ser observado é que o ransomware LockBit é frequentemente propagação via Remote Desktop Protocol (RDP). Se você não usa essa tecnologia, não precisa se preocupar com esse ponteiro. No entanto, se você fizer isso, é importante proteger sua rede RDP usando proteção por senha, VPNs e desativando o protocolo quando não estiver diretamente em uso. Os operadores de ransomware geralmente verificam a Internet em busca de conexões RDP vulneráveis, portanto, adicionar camadas extras de proteção tornará sua rede RDP menos suscetível a ataques.
O ransomware também pode ser espalhado por meio de phishing, um modo incrivelmente popular de infecção e roubo de dados usado por agentes mal-intencionados. O phishing é mais comumente implantado por meio de e-mails, em que o invasor anexa um link malicioso ao corpo do e-mail para convencer a vítima a clicar. Este link levará a um site malicioso que pode facilitar a infecção por malware.
Evitar o phishing pode ser feito de várias maneiras, incluindo o uso de recursos de e-mail anti-spam, sites de verificação de linkse software antivírus. Você também deve verificar o endereço do remetente de qualquer novo e-mail e verificar se há erros de digitação nos e-mails (já que os e-mails fraudulentos geralmente estão cheios de erros ortográficos e gramaticais).
LockBit continua a ser uma ameaça global
LockBit continua a evoluir e tem como alvo cada vez mais vítimas: este ransomware não vai a lugar nenhum tão cedo. Para se manter seguro contra LockBit e ransomware em geral, considere algumas das dicas acima. Embora você possa pensar que nunca se tornará um alvo, é sempre aconselhável tomar as precauções necessárias de qualquer maneira.