LockBit attackerar Windows Domain-servrar i Vietnam.

Säkerhetsexperter säger att skadlig kod har blivit mer sofistikerad, både i sina krypteringsskript och spridningsmetoder, och kan kringgå konventionella säkerhetslösningar.

Under de senaste två månaderna har Bkav-experter kontinuerligt mottagit förfrågningar om hjälp från ett flertal företag i Vietnam, som alla står inför samma problem: datorer i deras interna nätverk är samtidigt krypterade, vilket gör dataåterställning omöjlig.

Undersökningar och analyser av ett flertal fall har avslöjat att boven bakom datakrypteringen är LockBit 3.0, även känt som LockBit Black, ett ransomware-program från en ökänd hackergrupp, som nyligen avvecklades av International Police Alliance (bestående av Storbritanniens nationella brottsmyndighet NCA, USA:s federala utredningsbyrå FBI och Europeiska unionens polismyndighet Europol).

LockBit Black är mer sofistikerat än sina föregångare. Det är specifikt utformat för att rikta in sig på Windows-domänservrar i interna system. När viruset väl har infiltrerat använder det dessa servrar för att sprida sig i hela systemet, inaktivera säkerhetslösningar (inaktivera antivirusprogram, brandväggar), kopiera och exekvera skadlig kod… På så sätt kan viruset kryptera alla maskiner i det interna systemet samtidigt utan att behöva attackera varje maskin individuellt som tidigare.

Utöver att bara ändra sina metoder och mål, använder LockBit Black också ett mer lömskt scenario för datakryptering. Istället för att direkt kryptera data vid start, eskalerar viruset privilegier, kringgår sedan användargränssnittet (UAC) och startar slutligen om offrets maskin i felsäkert läge (ett läge där endast systemet och ett fåtal applikationer startas) och krypterar data i detta läge. På så sätt kan skadlig kod kringgå konventionella säkerhetslösningar.

För att undvika att bli attackerad av LockBit och andra datakrypterande virus rekommenderar Bkav-experter att användare och systemadministratörer bör:

• Säkerhetskopiera viktiga data regelbundet.
  
• Öppna inte interna serviceportar till internet om det inte är absolut nödvändigt.
  
• Bedöm tjänsternas säkerhet innan du lanserar internet.
  
• Installera tillräckligt kraftfullt antivirusprogram för konstant skydd.