LockBit atakuje serwery domeny Windows w Wietnamie.

Eksperci ds. bezpieczeństwa twierdzą, że złośliwe oprogramowanie stało się bardziej wyrafinowane, zarówno pod względem skryptów szyfrujących, jak i metod rozprzestrzeniania się, i jest w stanie ominąć konwencjonalne rozwiązania zabezpieczające.

Przez ostatnie dwa miesiące eksperci Bkav wielokrotnie otrzymywali prośby o pomoc od wielu firm z Wietnamu, które wszystkie borykały się z tym samym problemem: komputery w ich wewnętrznych sieciach były jednocześnie szyfrowane, co uniemożliwiało odzyskanie danych.

Śledztwa i analizy licznych przypadków wykazały, że za szyfrowaniem danych stoi LockBit 3.0, znany również jako LockBit Black, ransomware opracowany przez niesławną grupę hakerów, która została niedawno rozbita przez Międzynarodowy Sojusz Policji (w którego skład wchodzą brytyjska Narodowa Agencja ds. Przestępczości (NCA), amerykańskie Federalne Biuro Śledcze (FBI) i Europejska Agencja Policyjna (Europol).

LockBit Black jest bardziej zaawansowany niż jego poprzednicy. Został zaprojektowany specjalnie do atakowania serwerów domeny Windows w systemach wewnętrznych. Po infiltracji wirus wykorzystuje te serwery do rozprzestrzeniania się w całym systemie, wyłączając zabezpieczenia (program antywirusowy, zaporę sieciową), kopiując i wykonując złośliwy kod… W ten sposób wirus może zaszyfrować wszystkie komputery w systemie wewnętrznym jednocześnie, bez konieczności atakowania każdego z nich osobno, jak to miało miejsce dotychczas.

Oprócz prostej zmiany metod i celów, LockBit Black stosuje również bardziej podstępny scenariusz szyfrowania danych. Zamiast szyfrować dane bezpośrednio po uruchomieniu, wirus zwiększa uprawnienia, omija UAC, a na koniec restartuje komputer ofiary w trybie awaryjnym (w którym uruchomiony jest tylko system i kilka aplikacji) i szyfruje dane w tym trybie. W ten sposób złośliwe oprogramowanie może ominąć konwencjonalne rozwiązania bezpieczeństwa.

Aby uniknąć ataków LockBit i innych wirusów szyfrujących dane, eksperci Bkav zalecają użytkownikom i administratorom systemów:

• Regularnie twórz kopie zapasowe ważnych danych.
  
• Nie otwieraj wewnętrznych portów usługowych dla Internetu, chyba że jest to konieczne.
  
• Przed uruchomieniem Internetu należy ocenić bezpieczeństwo usług.
  
• Zainstaluj odpowiednio mocny program antywirusowy, aby zapewnić sobie stałą ochronę.