Το LockBit, μία από τις πλέον διαβόητες κατηγορίες ransomware στον κόσμο, επέκτεινε πρόσφατα τις δραστηριότητές του, ενισχύοντας τη λειτουργικότητα σε πολλαπλές πλατφόρμες, σύμφωνα με τους ειδικούς της Kaspersky. Το LockBit απέκτησε φήμη παγκοσμίως ως συνέπεια των πολλαπλών κυβερνοεπιθέσεων σε επιχειρήσεις, οι οποίες τις επιβάρυναν με περαιτέρω λειτουργικά έξοδα. Η πρόσφατη έκθεση της Kaspersky αναδεικνύει την προσπάθεια του LockBit να επεκτείνει το εύρος του και να μεγιστοποιήσει τις συνέπειες των επιθέσεών του.
Στα αρχικά του στάδια, το LockBit λειτουργούσε χωρίς πύλες διαρροής, τακτικές εκβιασμού ή υποκλοπή δεδομένων προτού ξεκινήσει τη διαδικασία κρυπτογράφησης των δεδομένων των θυμάτων. Ωστόσο, η ομάδα ανέπτυσσε συνεχώς την υποδομή της και τα μέτρα ασφαλείας για την προστασία των περιουσιακών της στοιχείων από διάφορες απειλές, συμπεριλαμβανομένων επιθέσεων στα panel διαχείρισης και κατανεμημένων επιθέσεων τύπου DDoS.
Η κοινότητα της κυβερνοασφάλειας αναγνωρίσε ότι το LockBit υιοθετεί κώδικα από άλλες ομάδες ransomware, όπως οι BlackMatter και DarkSide. Αυτή η κίνηση όχι μόνο διευκολύνει τη διαδικασία και για τις υπόλοιπες κατηγορίες, αλλά επεκτείνει και το φάσμα των δυνητικών στόχων του LockBit. Πρόσφατα ευρήματα του Kaspersky's Threat Attribution Engine (KTAE) ανέδειξαν πως το LockBit ενσωμάτωσε περίπου το 25% του κώδικα που χρησιμοποιούσε το μη λειτουργικό πλέον ransomware Conti. Το αποτέλεσμα ήταν η δημιουργία μιας νέας παραλλαγής γνωστής ως LockBit Green.
Παράλληλα, οι ερευνητές της Kaspersky ανακάλυψαν ένα αρχείο ZIP που περιέχει δείγματα LockBit ειδικά προσαρμοσμένα σε πολλαπλές δομές, συμπεριλαμβανομένων των Apple M1, ARM v6, ARM v7, και FreeBSD μεταξύ άλλων. Μέσω ενδελεχούς ανάλυσης και διερεύνησης με τη χρήση του KTAE, επιβεβαίωσαν ότι αυτά τα δείγματα προέρχονται από την έκδοση LockBit Linux/ESXi που είχε εμφανιστεί και προηγουμένως.
Παρόλο που σε ορισμένα παραδείγματα, όπως η παραλλαγή macOS, απαιτούνται πρόσθετες ρυθμίσεις και δεν αναγνωρίζονται σωστά, είναι προφανές ότι το LockBit δοκιμάζει ενεργά το ransomware του σε διάφορες πλατφόρμες, γεγονός που υποδηλώνει μια επικείμενη επέκταση των επιθέσεων. Η εξέλιξη αυτή υπογραμμίζει την επείγουσα ανάγκη να παρθούν ισχυρά μέτρα ασφάλειας σε όλες τις πλατφόρμες και να τονιστεί η σημασία της αυξημένης επαγρύπνησης της επιχειρηματικής κοινότητας.
Για να προστατευτείτε εσείς και η επιχείρησή σας από επιθέσεις ransomware, η Kaspersky συνιστά τα παρακάτω:
- Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε ώστε να αποτρέψετε τους επιτιθέμενους να εκμεταλλευτούν τα τρωτά σημεία και να εισέλθουν στο δίκτυό σας.
- Επικεντρώστε την αμυντική σας στρατηγική στον εντοπισμό κινήσεων και διαρροών δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στις ενημερώσεις για να εντοπίζετε τις συνδέσεις των κυβερνοεγκληματιών στο δίκτυό σας. Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.
- Ενεργοποιήστε την προστασία από ransomware σε όλα τα τερματικά σημεία. Διατίθεται το δωρεάν Kaspersky Anti-Ransomware Tool for Business που προστατεύει τους υπολογιστές και τους διακομιστές από ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει τα exploits και είναι συμβατό με τις ήδη εγκατεστημένες λύσεις ασφαλείας.
- Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες δίνουν τη δυνατότητα για προηγμένη ανίχνευση και διερεύνηση απειλών, προσφέροντας και έγκαιρη αποκατάσταση. Όλα τα παραπάνω είναι διαθέσιμα στο Kaspersky Expert Security framework.
- Παρέχετε στη SOC ομάδα σας πρόσβαση στην πιο πρόσφατη πληροφόρηση απειλών. Το Kaspersky Threat Intelligence Portal είναι ένα ενιαίο σημείο πρόσβασης στο TI της Kaspersky, το οποίο παρέχει δεδομένα και γνώσεις σχετικά με κυβερνοεπιθέσεις που έχουν συλλεχθεί από την ομάδα μας τα τελευταία 20 χρόνια. Για να βοηθήσει τις επιχειρήσεις να παρέχουν αποτελεσματική άμυνα σε αυτούς τους πολύπλοκους καιρούς, η Kaspersky ανακοίνωσε ότι παρέχει δωρεάν πρόσβαση σε ανεξάρτητες, συνεχώς ενημερωμένες και παγκόσμιας προέλευσης πληροφορίες σχετικά με τις τρέχουσες κυβερνοεπιθέσεις και απειλές.
