حمله لاک‌بیت به سرورهای دامنه ویندوز در ویتنام

کارشناسان امنیتی می‌گویند این بدافزار پیشرفت‌های بسیار پیچیده‌تری، چه در اسکریپت رمزگذاری و چه در روش‌های انتشار خود، داشته است و قادر به دور زدن راه‌حل‌های امنیتی مرسوم است.

در دو ماه گذشته، کارشناسان Bkav به طور مداوم درخواست‌های کمک از بسیاری از کسب‌وکارها در ویتنام دریافت کرده‌اند که با این وضعیت رایج مواجه بوده‌اند که رایانه‌های شبکه داخلی همگی به طور همزمان رمزگذاری شده‌اند و داده‌ها قابل ذخیره نیستند.

LockBit tấn công các máy chủ Windows Domain tại Việt Nam- Ảnh 1. — لاک‌بیت ۳.۰ در ویتنام شروع به «انفجار» کرده است

نتایج تحقیقات و تجزیه و تحلیل بسیاری از موارد نشان می‌دهد که عامل رمزگذاری داده‌ها LockBit 3.0 است که با نام LockBit Black نیز شناخته می‌شود، یک باج‌افزار از یک گروه هکر معروف که اخیراً توسط اتحادیه بین‌المللی پلیس (شامل آژانس ملی جرایم بریتانیا - NCA، اداره تحقیقات فدرال ایالات متحده - FBI و آژانس پلیس اتحادیه اروپا - Europol) نابود شده است.

LockBit Black نسبت به انواع قبلی پیشرفت‌های پیچیده‌تری دارد. آن‌ها به‌طور خاص برای هدف قرار دادن سرورهای مدیریت دامنه ویندوز در سیستم داخلی طراحی شده‌اند. پس از نفوذ، ویروس از این سرورها برای ادامه گسترش به کل سیستم، غیرفعال کردن راه‌حل‌های امنیتی (غیرفعال کردن آنتی‌ویروس، فایروال)، کپی کردن و اجرای کد مخرب استفاده می‌کند... به این ترتیب، ویروس می‌تواند تمام ماشین‌های موجود در سیستم داخلی را به‌طور همزمان رمزگذاری کند، بدون اینکه مانند قبل به هر ماشین حمله کند.

LockBit Black نه تنها روش و هدف خود را تغییر می‌دهد، بلکه سناریوی رمزگذاری داده‌های خطرناک‌تری نیز دارد. به جای رمزگذاری مستقیم داده‌ها پس از اجرا، ویروس امتیازات را افزایش می‌دهد، سپس UAC را دور می‌زند و در نهایت دستگاه قربانی را در حالت Safe Mode (حالتی که فقط سیستم و برخی برنامه‌ها اجرا می‌شوند) مجدداً راه‌اندازی می‌کند و رمزگذاری داده‌ها را در این حالت انجام می‌دهد. به این ترتیب، این بدافزار می‌تواند راه‌حل‌های امنیتی مرسوم را دور بزند.

برای جلوگیری از حمله LockBit و همچنین سایر ویروس‌های رمزگذاری داده‌ها، کارشناسان Bkav به کاربران و مدیران سیستم توصیه می‌کنند: