حمله لاک‌بیت به سرورهای دامنه ویندوز در ویتنام

کارشناسان امنیتی می‌گویند که بدافزارها، چه از نظر اسکریپت‌های رمزگذاری و چه از نظر روش‌های انتشار، پیچیده‌تر شده‌اند و قادر به دور زدن راه‌حل‌های امنیتی مرسوم هستند.

در طول دو ماه گذشته، کارشناسان Bkav به طور مداوم درخواست‌های کمک از سوی کسب‌وکارهای متعدد در ویتنام دریافت کرده‌اند که همگی با مشکل مشابهی روبرو هستند: رایانه‌های موجود در شبکه‌های داخلی آنها به طور همزمان رمزگذاری می‌شوند و بازیابی اطلاعات را غیرممکن می‌سازد.

LockBit tấn công các máy chủ Windows Domain tại Việt Nam- Ảnh 1. — محبوبیت LockBit 3.0 در ویتنام رو به افزایش است.

تحقیقات و تجزیه و تحلیل موارد متعدد نشان داده است که عامل رمزگذاری داده‌ها، LockBit 3.0 است که با نام LockBit Black نیز شناخته می‌شود، یک باج‌افزار از یک گروه هکر بدنام که اخیراً توسط اتحاد بین‌المللی پلیس (متشکل از آژانس ملی جرایم بریتانیا - NCA، اداره تحقیقات فدرال ایالات متحده - FBI و آژانس پلیس اتحادیه اروپا - Europol) متلاشی شد.

LockBit Black از نمونه‌های قبلی خود پیچیده‌تر است. این ویروس به‌طور خاص برای هدف قرار دادن سرورهای دامنه ویندوز در سیستم‌های داخلی طراحی شده است. پس از نفوذ، ویروس از این سرورها برای پخش شدن در کل سیستم استفاده می‌کند و راه‌حل‌های امنیتی (غیرفعال کردن آنتی‌ویروس، فایروال) را غیرفعال می‌کند، کد مخرب را کپی و اجرا می‌کند... به این ترتیب، ویروس می‌تواند تمام دستگاه‌های موجود در سیستم داخلی را به‌طور همزمان رمزگذاری کند، بدون اینکه مانند قبل مجبور باشد به هر دستگاه به‌صورت جداگانه حمله کند.

لاک‌بیت بلک، فراتر از تغییر ساده‌ی روش‌ها و اهداف خود، از یک سناریوی رمزگذاری داده‌ی موذیانه‌تر نیز استفاده می‌کند. این ویروس به جای رمزگذاری مستقیم داده‌ها پس از اجرا، امتیازات را افزایش می‌دهد، سپس UAC را دور می‌زند و در نهایت دستگاه قربانی را در حالت ایمن (حالتی که فقط سیستم و چند برنامه اجرا می‌شوند) مجدداً راه‌اندازی می‌کند و داده‌ها را در این حالت رمزگذاری می‌کند. به این ترتیب، این بدافزار می‌تواند راه‌حل‌های امنیتی مرسوم را دور بزند.

برای جلوگیری از حمله LockBit و سایر ویروس‌های رمزگذاری داده‌ها، کارشناسان Bkav به کاربران و مدیران سیستم توصیه می‌کنند: