LockBit – это зловред, который используется для шифрования файлов на зараженных компьютерах и требует выкуп за их расшифровку.
Преступники продолжают применять версию билдера 2022 года для создания собственных модификаций вредоносной программы LockBit 3.0. В 2024 году эксперты столкнулись с использованием этих сборок в инцидентах в России и других странах. Вероятно, эти атаки не связаны друг с другом и были совершены разными группировками. Возможно, конкуренты группы LockBit применяли этот билдер для атак в странах СНГ.
Особенностью LockBit является то, что он способен автоматически распространяться по сети организации, заражая все доступные устройства. Это делает его особенно опасным для корпоративных сетей и крупных компаний.
Во время анализа одного из случаев был обнаружен экземпляр LockBit, способный автономно перемещаться по сети и проникать в наиболее важные сегменты инфраструктуры, используя украденные учётные данные системного администратора. Эксперты обратили внимание на функции самозащиты, такие как отключение Microsoft Defender и удаление журналов событий Windows, которые могут указывать на нежелательное присутствие.
Атаки с использованием LockBit обычно начинаются с заражения компьютера жертвы через фишинговые письма, вредоносные веб-сайты или другие способы. После заражения LockBit начинает шифровать файлы на компьютере, делая их недоступными для пользователя. В России шифровальщик LockBit часто используют в атаках, целью которых является полное уничтожение данных, а не получение выкупа. Эта угроза может иметь катастрофические последствия для компаний.
Возможности распространения в сети и обхода защитных механизмов, доступные в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированный доступ к целевой инфраструктуре. Например, в одном из инцидентов использовался вариант LockBit с новыми функциями маскировки и распространения, которые ранее не встречались. Когда злоумышленники получили доступ к учётным данным системного администратора, они смогли получить доступ к самым важным областям корпоративной среды. Эта версия шифровальщика могла самостоятельно распространяться по сети, используя украденные учётные данные, и выполнять вредоносные действия, такие как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для сокрытия следов.
Для защиты от атак с использованием LockBit и других шифровальщиков рекомендуется:
- Использовать многофакторную аутентификацию для доступа к важным ресурсам;
- Выключать ненужные службы и порты для уменьшения поверхности атаки;
- Регулярно проводить тестирование на проникновение и мониторинг уязвимостей для обнаружения слабых мест и своевременного применения эффективных мер по контролю;
- Организовывать тренинги по кибербезопасности для обучения сотрудников распознаванию киберугроз и методам их избежания;
В заключении хотим подчеркнуть важность осознанности и бдительности в сфере кибербезопасности как для обычных пользователей, так и для компаний. Атаки с использованием шифровальщиков, таких как LockBit, наносят серьезный ущерб как в финансовом, так и в информационном плане. Предостерегая о потенциальных угрозах, мы можем снизить вероятность успешных кибератак и защитить себя от потерь данных и финансов. Регулярное обновление программного обеспечения, обучение персонала и соблюдение мер предосторожности — ключевые шаги к обеспечению безопасности в цифровом мире.
Спасибо за внимание к нашей статье. Мы надеемся, что информация, представленная в данной публикации, окажется полезной и интересной для вас. Если у вас возникли дополнительные вопросы или вы хотели бы узнать больше о наших услугах и продуктах, не стесняйтесь обращаться к нам. Мы всегда готовы помочь вам с выбором оптимальных решений для вашего бизнеса. Будьте в курсе последних тенденций в области кибербезопасности и IT-технологий, следите за обновлениями на нашем сайте и подписывайтесь на наши новостные рассылки.С уважением, команда Mask Safe!
