Định nghĩa LockBit
Phần mềm tống tiền LockBit là phần mềm độc hại được thiết kế để chặn người dùng truy cập vào các hệ thống máy tính nhằm đổi lấy khoản tiền chuộc. LockBit sẽ tự động kiểm tra các mục tiêu có giá trị, lan truyền lây nhiễm và mã hóa tất cả các hệ thống máy tính có thể truy cập trên một mạng. Phần mềm tống tiền này được dùng để tấn công có mục tiêu cụ thể vào các doanh nghiệp và tổ chức khác. Là một cuộc tấn công mạng tự phát, những kẻ tấn công LockBit đã gây ra dấu ấn bằng cách đe dọa các tổ chức trên toàn cầu bằng một số mối đe dọa sau:
- Gián đoạn hoạt động khiến các chức năng thiết yếu phải dừng đột ngột.
- Tống tiền để tin tặc kiếm lợi ích tài chính.
- Trộm cắp dữ liệu và công bố thông tin bất hợp pháp dưới dạng hăm dọa tống tiền nếu nạn nhân không tuân thủ.
Phần mềm tống tiền LockBit là gì?
LockBit là một cuộc tấn công bằng phần mềm tống tiền mới trong một chuỗi dài các cuộc tấn công mạng tống tiền. Trước đây được gọi là phần mềm tống tiền “ABCD”, hiện nó đã phát triển thành mối đe dọa độc nhất trong phạm vi của các công cụ tống tiền này. LockBit là một phân lớp của phần mềm tống tiền được gọi là "virus tiền điện tử" do hình thành yêu cầu tiền chuộc thông qua việc thanh toán tài chính để đổi lấy việc giải mã. Nó tập trung chủ yếu vào các doanh nghiệp và tổ chức chính phủ hơn là cá nhân.
Các cuộc tấn công sử dụng LockBit ban đầu bắt đầu vào tháng 9 năm 2019, khi đó nó được gọi là “virus .abcd”. Biệt danh này ám chỉ tên mở rộng của tập tin được dùng khi mã hóa các tập tin của nạn nhân. Các mục tiêu đáng chú ý trước đây bao gồm các tổ chức ở Hoa Kỳ, Trung Quốc, Ấn Độ, Indonesia và Ukraine. Ngoài ra, nhiều quốc gia trên khắp châu Âu (Pháp, Anh, Đức) cũng đã chứng kiến các cuộc tấn công.
Các mục tiêu khả thi là những mục tiêu cảm thấy bị sự gián đoạn cản trở đủ nhiều để phải trả một khoản tiền lớn – và có đủ tiền để làm như vậy. Do đó, điều này có thể dẫn đến các cuộc tấn công lan rộng vào các doanh nghiệp lớn, từ chăm sóc sức khỏe đến các tổ chức tài chính. Trong quá trình kiểm tra tự động, dường như nó cũng cố tình tránh tấn công các hệ thống cục bộ của Nga hoặc bất kỳ quốc gia nào khác trong Cộng đồng các quốc gia độc lập. Có lẽ, đó là để tránh bị truy tố ở những khu vực đó.
LockBit hoạt động theo mô hình dịch vụ tống tiền (RaaS). Các bên tự nguyện đặt cọc để sử dụng các cuộc tấn công cho thuê theo yêu cầu và hưởng lợi nhuận theo khuôn khổ liên kết. Các khoản trả tiền chuộc được chia giữa nhóm phát triển LockBit và những kẻ liên kết tấn công, những kẻ này sẽ nhận được tới ¾ số tiền chuộc.
Phần mềm tống tiền LockBit hoạt động như thế nào?
Phần mềm tống tiền LockBit được nhiều nhà chức trách coi là một phần của họ phần mềm độc hại “LockerGoga & MegaCortex”. Đơn giản điều này có nghĩa là nó có chung hành vi với các dạng phần mềm tống tiền mục tiêu đã được thiết lập này. Để giải thích nhanh, chúng tôi hiểu rằng các cuộc tấn công này:
- Tự lan truyền trong một tổ chức thay vì yêu cầu điều khiển thủ công.
- Có mục tiêu thay vì lan truyền rải rác như phần mềm độc hại thư rác.
- Sử dụng các công cụ tương tự để phát tán, như Windows Powershell và Server Message Block (SMB).
Điều quan trọng nhất là khả năng tự nhân lên của nó, nghĩa là nó tự lan rộng. Trong lập trình, LockBit được điều khiển bởi các quy trình tự động được thiết kế sẵn. Điều này làm cho nó trở nên khác biệt so với nhiều cuộc tấn công bằng phần mềm tống tiền khác được điều khiển thủ công trong mạng – đôi khi trong nhiều tuần – để hoàn tất việc do thám và giám sát.
Sau khi kẻ tấn công đã lây nhiễm thủ công vào một máy chủ lưu trữ duy nhất, nó có thể tìm các máy chủ lưu trữ khác có thể truy cập, kết nối chúng với các máy bị lây nhiễm và chia sẻ lây nhiễm bằng một tập lệnh. Quá trình này được hoàn tất và lặp lại hoàn toàn mà không cần sự can thiệp của con người.
Ngoài ra, nó sử dụng các công cụ theo mô hình có sẵn trong hầu hết các hệ thống máy tính Windows. Các hệ thống bảo mật thiết bị đầu cuối gặp khó khăn trong việc phát hiện hoạt động độc hại. Nó cũng ẩn tập tin mã hóa thực thi bằng cách ngụy trang dưới dạng tập tin hình ảnh .PNG thông thường, qua đó đánh lừa tuyến phòng thủ của hệ thống.
Các giai đoạn tấn công LockBit
Đại khái có thể hiểu các cuộc tấn công LockBit theo ba giai đoạn:
- Khai thác
- Xâm nhập
- Triển khai
Giai đoạn 1: Khai thác các điểm yếu trong mạng. Vi phạm ban đầu trông khá giống các cuộc tấn công độc hại khác. Một tổ chức có thể bị khai thác bởi các chiến thuật công nghệ xã hội như giả mạo, trong đó kẻ tấn công mạo danh nhân viên hoặc người có thẩm quyền đáng tin cậy để yêu cầu thông tin đăng nhập. Một cách khả thi tương tự là sử dụng các cuộc tấn công brute force vào máy chủ mạng nội bộ và các hệ thống mạng của một tổ chức. Nếu không có cấu hình mạng phù hợp, việc thăm dò tấn công có thể chỉ mất vài ngày để hoàn tất.
Sau khi LockBit xâm nhập vào một mạng, phần mềm tống tiền sẽ chuẩn bị hệ thống để giải phóng lượng dữ liệu mã hóa của nó trên mọi thiết bị mà nó có thể. Tuy nhiên, kẻ tấn công có thể phải đảm bảo hoàn tất thêm một vài bước nữa trước khi có thể thực hiện hành động cuối cùng.
Giai đoạn 2: Xâm nhập sâu hơn để hoàn tất việc thiết lập tấn công nếu cần. Từ thời điểm này trở đi, chương trình LockBit sẽ điều khiển mọi hoạt động một cách độc lập. Nó được lập trình để sử dụng những công cụ được biết đến là "hậu khai thác" nhằm nâng cao đặc quyền để đạt được mức độ truy cập sẵn sàng tấn công. Nó cũng bắt nguồn từ khả năng tiếp cận đâ có sẵn thông qua di chuyển ngang để kiểm tra khả năng thành tựu của mục tiêu.
Ở giai đoạn này LockBit sẽ thực hiện mọi hành động chuẩn bị trước khi triển khai phần mã hóa của phần mềm tống tiền. Điều này bao gồm vô hiệu hóa các chương trình bảo mật và bất kỳ cơ sở hạ tầng nào khác có thể cho phép khôi phục hệ thống.
Mục tiêu của xâm nhập là khiến việc khôi phục trở thành bất khả thi hoặc chậm đến mức giải pháp khả thi duy nhất là chấp nhận tiền chuộc của kẻ tấn công. Khi nạn nhân tuyệt vọng muốn mọi hoạt động trở lại bình thường, đây là lúc họ sẽ trả tiền chuộc.
Giai đoạn 3: Triển khai lượng dữ liệu mã hóa. Khi mạng đã được chuẩn bị để LockBit có thể huy động hoàn toàn, phần mềm tống tiền sẽ bắt đầu lây lan đến bất kỳ máy nào mà nó có thể chạm tới. Như đã nêu trước đó, LockBit không cần nhiều thứ để hoàn tất giai đoạn này. Một đơn vị hệ thống duy nhất có quyền truy cập cao có thể ra lệnh cho các đơn vị mạng khác tải xuống và chạy LockBit.
Phần mã hóa sẽ “khóa” tất cả các tập tin hệ thống. Nạn nhân chỉ có thể mở khóa hệ thống của mình thông qua khóa tùy chỉnh do công cụ giải mã độc quyền của LockBit tạo ra. Quá trình này cũng để lại bản sao của tập tin văn bản ghi chú tiền chuộc đơn giản trong mọi thư mục của hệ thống. Nó cung cấp cho nạn nhân hướng dẫn để phục hồi hệ thống và thậm chí trong một số phiên bản LockBit còn bao gồm cả hăm dọa tống tiền.
Khi tất cả các giai đoạn đã hoàn tất, các bước tiếp theo sẽ do nạn nhân thực hiện. Họ có thể quyết định liên hệ với bộ phận hỗ trợ của LockBit và trả tiền chuộc. Tuy nhiên, không nên làm theo yêu cầu của chúng. Nạn nhân không có gì đảm bảo rằng kẻ tấn công sẽ thực hiện lời hứa khi kết thúc thỏa thuận.
Các loại mối đe dọa LockBit
Là cuộc tấn công bằng phần mềm tống tiền mới nhất, mối đe dọa LockBit có thể là mối lo ngại lớn. Chúng ta không thể loại trừ khả năng nó có thể lan rộng sang nhiều ngành nghề và tổ chức, đặc biệt khi làm việc từ xa ngày càng gia tăng gần đây. Việc phát hiện các biến thể của LockBit có thể giúp xác định chính xác bạn đang phải đối mặt với vấn đề gì.
Biến thể 1 – phần mở rộng .abcd
Phiên bản gốc của LockBit đổi tên các tập tin với phần mở rộng là “.abcd”. Ngoài ra, nó còn bao gồm một ghi chú tiền chuộc kèm theo các yêu cầu và hướng dẫn về việc phục hồi dữ liệu trong tập tin “Restore-My-Files.txt” đã được chèn vào mọi thư mục.
Biến thể 2 –. Phần mở rộng LockBit
Phiên bản được biết đến thứ hai của phần mềm tống tiền này có phần mở rộng tập tin là “.LockBit”, tạo nên biệt danh hiện tại. Tuy nhiên, nạn nhân sẽ thấy các điểm khác của phiên bản này xuất hiện hầu như giống hệt nhau mặc dù có một số sửa đổi hạ tầng.
Biến thể 3 –. LockBit phiên bản 2
Phiên bản LockBit có thể nhận dạng tiếp theo không còn yêu cầu tải xuống trình duyệt Tor trong hướng dẫn tiền chuộc. Thay vào đó, nó sẽ chuyển nạn nhân đến một trang web thay thế thông qua kết nối internet truyền thống.
Các bản cập nhật và sửa đổi đang diễn ra cho LockBit
Gần đây, LockBit đã được cải tiến với nhiều tính năng nguy hiểm hơn như phủ nhận các điểm kiểm tra quyền quản trị. Giờ đây LockBit tắt lời nhắc an toàn mà người dùng có thể thấy khi một ứng dụng cố gắng chạy với tư cách là quản trị viên.
Ngoài ra, hiện nay phần mềm độc hại được thiết lập để đánh cắp các bản sao dữ liệu máy chủ và bao gồm thêm các dòng hăm dọa tống tiền trong ghi chú tiền chuộc. Trong trường hợp nạn nhân không làm theo hướng dẫn, LockBit sẽ đe dọa phát hành công khai dữ liệu riêng tư của nạn nhân.
Gỡ bỏ và giải mã LockBit
Với tất cả những rắc rối mà LockBit có thể gây ra, các thiết bị đầu cuối cần các tiêu chuẩn bảo vệ toàn diện trên toàn bộ tổ chức của bạn. Bước đầu tiên là phải có giải pháp bảo mật thiết bị đầu cuối toàn diện, chẳng hạn như Kaspersky Integrated Endpoint Security.
Nếu tổ chức của bạn đã bị lây nhiễm, việc gỡ bỏ riêng phần mềm tống tiền LockBit sẽ không giúp bạn truy cập được vào các tập tin của mình. Bạn sẽ vẫn cần một công cụ để phục hồi hệ thống vì mã hóa cần "chìa khóa" để mở khóa. Ngoài ra, bạn có thể phục hồi hệ thống của mình bằng cách tạo lại ảnh nếu bạn đã tạo ảnh sao lưu trước khi bị lây nhiễm virus.
Cách bảo vệ chống lại phần mềm tống tiền LockBit
Cuối cùng, bạn sẽ phải thiết lập các biện pháp bảo vệ để đảm bảo tổ chức của bạn có khả năng chống lại mọi phần mềm tống tiền hoặc các cuộc tấn công độc hại ngay từ đầu. Sau đây là một số thực hành có thể giúp bạn chuẩn bị:
- Nên thực thi mật khẩu mạnh. Nhiều vụ vi phạm tài khoản xảy ra do mật khẩu dễ đoán hoặc mật khẩu đơn giản đến mức một công cụ thuật toán có thể phát hiện ra chỉ sau vài ngày thăm dò. Đảm bảo bạn chọn mật khẩu an toàn, chẳng hạn như chọn mật khẩu dài hơn với nhiều ký tự khác nhau và sử dụng các quy tắc tự tạo để tạo cụm từ mật khẩu.
- Kích hoạt xác thực đa yếu tố. Ngăn chặn các cuộc tấn công brute force bằng cách thêm các lớp vào đầu thông tin đăng nhập ban đầu dựa trên mật khẩu của bạn. Nếu có thể, hãy áp dụng các biện pháp như sinh trắc học hoặc xác thực bằng khóa USB vật lý trên tất cả các hệ thống của bạn.
- Đánh giá lại và đơn giản hóa các quyền của tài khoản người dùng. Giới hạn quyền ở các mức nghiêm ngặt hơn để hạn chế các mối đe dọa tiềm ẩn không bị ngăn chặn. Đặc biệt chú ý đến những dữ liệu mà người dùng thiết bị đầu cuối và tài khoản CNTT với quyền quản trị viên có thể truy cập. Các tên miền web, nền tảng cộng tác, dịch vụ họp trực tuyến và cơ sở dữ liệu doanh nghiệp tất cả đều phải được bảo mật.
- Dọn sạch các tài khoản người dùng đã cũ và không sử dụng. Một số hệ thống cũ hơn có thể có các tài khoản của nhân viên cũ chưa bao giờ bị hủy kích hoạt hoặc bị đóng. Việc hoàn tất kiểm tra hệ thống của bạn phải bao gồm loại bỏ những điểm yếu tiềm ẩn này.
- Đảm bảo cấu hình hệ thống tuân theo tất cả các quy trình bảo mật. Điều này có thể mất thời gian, nhưng việc xem lại các thiết lập hiện tại có thể phát hiện ra những vấn đề mới và những chính sách lỗi thời đặt tổ chức của bạn vào rủi ro bị tấn công. Phải đánh giá lại định kỳ các thủ tục vận hành tiêu chuẩn để luôn cập nhật chống lại các mối đe dọa mạng mới.
- Luôn có các bản sao lưu toàn hệ thống và chuẩn bị các hình ảnh máy cục bộ sạch. Các sự cố sẽ xảy ra và biện pháp bảo vệ thực sự duy nhất chống lại tình trạng mất dữ liệu vĩnh viễn là có bản sao chép ngoại tuyến. Tổ chức của bạn nên tạo các bản sao lưu định kỳ để cập nhật mọi thay đổi quan trọng đối với hệ thống. Trong trường hợp một bản sao lưu bị lây nhiễm phần mềm độc hại, hãy cân nhắc việc có nhiều điểm sao lưu luân phiên để có lựa chọn một khoảng thời gian sạch.
- Đảm bảo rằng bạn có giải pháp an ninh mạng toàn diện cho doanh nghiệp. Trong khi LockBit có thể thử vô hiệu hóa các biện pháp bảo vệ một lần trong một thiết bị, phần mềm bảo vệ bảo mật mạng doanh nghiệp sẽ giúp bạn phát hiện các tập tin tải xuống trên toàn bộ tổ chức với khả năng bảo vệ theo thời gian thực. Tìm hiểu thêm về Kaspersky Security Solutions for Enterprise để giúp bạn bảo vệ doanh nghiệp và thiết bị của bạn.
Sản phẩm được khuyến cáo:
