Za około połowę cyberataków ransomware w ub.r. odpowiadały warianty narzędzia LockBit. Tak wynika z badań firmy Fortinet oraz dokumentu opracowanego przez amerykańskie i międzynarodowe podmioty zajmujące się cyberbezpieczeństwem, m.in. FBI.
Ransomware LockBit szyfruje i eksfiltruje pliki ofiar oraz żąda okupu za ich odszyfrowanie i dodatkowej opłaty za nieupublicznianie danych. Ataki z wykorzystaniem LockBit wymierzone były w użytkowników najpopularniejszych systemów operacyjnych: Microsoft Windows, Linux, ESXi, a od 2023 r. również w macOS.
Hakerzy unikają krajów postsowieckich
Grupa ransomware LockBit jest aktywna od początku 2020 r. i od tamtej pory atakuje podmioty z wielu branż, w tym sektora energetycznego i rządowego. LockBit działa w modelu usługowym (Ransomware-as-a-Service, RaaS), i jest wykorzystywany przez cyberprzestępców zwanych podmiotami stowarzyszonymi. Ich zadanie polega na wybieraniu i infiltrowaniu potencjalnych ofiar oraz wdrażaniu oprogramowania dostarczonego przez dewelopera LockBit. Z badań Fortinet wynika, że odpowiadało ono za ponad połowę z niemal 3300 tego rodzaju cyberataków w 2022 r.
Podmioty stowarzyszone muszą działać według konkretnych wytycznych dystrybutora LockBit i list „atakuj” i „nie atakuj”. Atakujący mają zabronione szyfrowanie plików należących do instytucji infrastruktury krytycznej, takich jak elektrownie jądrowe, termiczne, hydroelektryczne, gazociągi i ropociągi, a także stacje produkcji ropy naftowej i rafinerie. Mogą jednak wykradać dane z takich podmiotów, bez szyfrowania ich plików.
Co ciekawe, przestępcy mają zakaz atakowania krajów postsowieckich, czyli m.in. Ukrainy, Białorusi, Rosji, Gruzji, Łotwy, Litwy i Estonii. W innych państwach dopuszczone jest stosowanie LockBit przeciwko agencjom rządowym, dopóki przynoszą zyski, prywatnym i nastawionym na zysk instytucjom edukacyjnym, a także firmom medycznym i farmaceutycznym, o ile atak nie przyczynia się do powodowania śmierci. Ponadto, podmioty stowarzyszone zachęca się do atakowania posterunków policji i organów ścigania. Jednak to, czy przestępcy zastosują się do wytycznych, pozostaje ich własną decyzją.
Potrzebna edukacja
Od pojawienia się pierwszego wariantu LockBit minęło już kilka lat, ale metody działania cyberprzestępców się nie zmieniły. Po zainfekowaniu systemu złośliwym oprogramowaniem, LockBit zmienia nazwy zaszyfrowanych plików i umieszcza na ekranie tapety urządzenia informację o ataku oraz konieczności opłaty. Ransomware LockBit stosuje podwójną taktykę wymuszeń, żądając od ofiar zapłacenia okupu za odzyskanie plików i nieujawniania skradzionych informacji publicznie.
Eksperci Fortinet zwracają uwagę, że większość przypadków użycia oprogramowania ransomware odbywa się za pośrednictwem phishingu. Dlatego firmy powinny rozważyć przeprowadzenie szkoleń pracowników w zakresie rozumienia i wykrywania zagrożeń phishingowych, a także wdrożenie odpowiednich rozwiązań cyberochronnych. Eksperci Fortinet przewidują, że oprogramowanie to nie zniknie i dalej będzie chętnie wykorzystywane przez cyberprzestępców.