NAKIVO > Blog > Multiplatform

Oprogramowanie wymuszające okup LockBit: co trzeba wiedzieć, aby się przed nim chronić

Updated: 22 czerwca, 2026

Autor:: Zespół NAKIVO

LockBit pozostaje jednym z największych zagrożeń dla organizacji na niezwykle zróżnicowanym rynku oprogramowania wymuszającego okup. W pierwszej połowie 2023 r. odnotowano więcej udanych ataków LockBit niż w przypadku jakiejkolwiek innej rodziny oprogramowania wymuszającego okup, a na drugim i trzecim miejscu znalazły się BlackCat oraz Clop .

Przez cały 2023 r. LockBit nadal skutecznie atakował czołowe światowe firmy i agencje rządowe. Na przykład w październiku grupa LockBit wziął na siebie odpowiedzialność w sprawie naruszenia danych osobowych rządu kanadyjskiego, twierdząc, że skradziono 1,5 terabajta archiwalnych dokumentów, w tym dane osobowe urzędników państwowych. Inne znane ofiary to Boeing, amerykański oddział ICBC (największy bank w Chinach) oraz Ministerstwo Obrony Wielkiej Brytanii.

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Korzystaj z kopii zapasowych, aby szybko odzyskać dane po atakach oprogramowania wymuszającego okup. Liczne opcje odzyskiwania danych, niezmienna pamięć lokalna i w magazynie-chmura, funkcje automatycznego odzyskiwania danych i wiele więcej.

ODKRYJ ROZWIĄZANIE

Czym jest oprogramowanie wymuszające okup LockBit?

LockBit to rodzaj oprogramowania wymuszającego okup wykorzystującego podwójny szantaż, opracowanego przez grupę przestępczą o tej samej nazwie, której strona internetowa znajduje się pod adresem pierwsze ataki LockBit sięgają 2019 roku. Grupa LockBit opracowuje i sprzedaje to oprogramowanie wymuszające okup partnerom w ramach modelu „ransomware-as-a-service” (RaaS) w zamian za udział w zyskach z otrzymanych okupów. Zwerbowani partnerzy wykorzystują to oprogramowanie do przeprowadzania ataków. Zostało ono uznane za oprogramowanie wymuszające okup typu „double extortion”, ponieważ LockBit również wykradł dane, a hakerzy grożą następnie opublikowaniem tych danych na stronach ujawniających poufne informacje.

Ewolucja oprogramowania ransomware LockBit

Oprogramowanie ransomware LockBit przeszło kilka iteracji od czasu, gdy po raz pierwszy zidentyfikowano je jako ABCD ransomware, stając się coraz bardziej wyrafinowanym w miarę ewolucji. LockBit jest stale ulepszany, aby infiltrować chronione sieci i pozostawać niewykrytym. Atakujący aktywnie badają systemy bezpieczeństwa w poszukiwaniu luk i wykorzystują socjotechnikę oraz inne techniki, aby zapewnić powodzenie swoich ataków.

Przyjrzyjmy się dotychczasowym wersjom:

ABCD

ABCD była pierwszą wersją oprogramowania wymuszającego okup grupy LockBit, wykrytą po raz pierwszy we wrześniu 2019 r. Nazwa odzwierciedla .abcd rozszerzenie dodawane do plików po szyfrowaniu. Ta wersja oprogramowania wymuszającego okup generowała również plik notatnika o nazwie Restore-My-Files.txt w każdym folderze zawierającym zaszyfrowane dane. Plik ten opisuje procedury dotyczące zapłaty okupu i przywrócenia danych.

LockBit

LockBit 1.0 lub po prostu LockBit to druga wersja tego oprogramowania wymuszającego okup, dodająca rozszerzenie .LockBit do zaszyfrowanych plików zamiast .abcd. Ta iteracja nie różni się zbytnio od wersji ABCD pod względem projektu i działania. W kodzie zaplecza wprowadzono jedynie kilka zmian.

LockBit 2.0

LockBit 2.0, po raz pierwszy zauważony w akcji w czerwcu 2021 r., został zmodyfikowany i zaktualizowany, stając się poważniejszym zagrożeniem. Ta wersja wykorzystuje algorytmy zaawansowanego standardu szyfrowania (AES) oraz kryptografii krzywych eliptycznych (ECC) do szyfrowania danych. Atakujący używają narzędzi powszechnie stosowanych przez zespoły IT w większości organizacji do wykonywania złośliwego kodu i rozprzestrzeniania go w systemach. W wersji 2.0 hakerzy wykorzystywali polecenia Windows Management Instrumentation (WMI), połączenia protokołu SMB oraz narzędzia PowerShell.

LockBit 2.0 działa w trybie offline, a po zainfekowaniu szyfrowanie przebiega niezależnie od tego, czy komputer jest podłączony do sieci, czy nie. Ponadto LockBit 2.0 posiada panel administracyjny dostępny za pośrednictwem przeglądarki TOR , umożliwiający cyberprzestępcom śledzenie przebiegu ataków.

LockBit 3.0, znany również jako LockBit Black

LockBit Black lub LockBit 3.0, to kolejne wydanie opublikowane w czerwcu 2022 roku. Wersja ta jest jeszcze bardziej trudna do wykrycia i ma bardziej modułową strukturę niż jej poprzedniczki, oferując opcje dostosowywania, z których można korzystać podczas kompilacji i wykonywania ładunku. Zachowanie LockBit Black można dodatkowo modyfikować po uruchomieniu za pomocą dodatkowych argumentów. Ponadto ta wersja integruje funkcje innych programów oprogramowania wymuszającego okup, takich jak Blackcat i Blackmatter.

Partnerzy LockBit 3.0 muszą podać właściwe hasło, aby uruchomić oprogramowanie ransomware, czyli przeprowadzić dekodowanie pliku wykonywalnego za pomocą klucza kryptograficznego. Ten poziom ochrony pozwala LockBit 3.0 oszukać skanery złośliwego oprogramowania, uniemożliwiając im analizę kodu.

Trudno jest wykryć składniki pliku wykonywalnego LockBit 3.0 za pomocą programów antywirusowych i anty-malware opartych na zasadzie wykrywania sygnatur, ponieważ zaszyfrowany komponent pliku wykonywalnego jest zmienny. Komponent ten wykorzystuje klucz kryptograficzny do szyfrowania, generując jednocześnie unikalny skrót. Po wprowadzeniu przez atakującego prawidłowego hasła (co oznacza, że klucz do odszyfrowywania jest poprawny) główna część LockBit 3.0 zostaje odszyfrowana. Następnie kod jest odszyfrowywany i dekompresowany, co umożliwia dalsze działanie oprogramowania wymuszającego okup.

LockBit Green

LockBit Green, wydany w styczniu 2023 r., jest piątą wersją LockBit specjalnie zmodyfikowaną pod kątem usług w chmurze. Ta generacja zyskała nowy wygląd oraz zestaw funkcji i możliwości w porównaniu z poprzednimi wersjami. Jednak LockBit Green zawiera fragmenty kodu, które wcześniej należały do innego oprogramowania wymuszającego okup Conti, które obecnie nie jest aktywne.

Rozszerzenia plików ransomware LockBit

Po udanej inwazji i szyfrowaniu danych LockBit zmienia rozszerzenie oryginalnych plików na jedno z następujących:

  • .abcd (oprogramowanie wymuszające okup poprzedniej generacji ABCD )
  • .lockbit (LockBit i LockBit 2.0)
  • Losowy ciąg 9 znaków (LockBit 3.0 i LockBit Green)

Główne etapy ataku oprogramowania wymuszającego okup LockBit

Atak oprogramowania wymuszającego okup LockBit przebiega zazwyczaj w trzech etapach:

  1. Włamanie. Atakujący omijają zabezpieczenia organizacji, wysyłając e-maile phishingowe, podszywając się pod kadrę kierowniczą w celu uzyskania danych logowania administratora, stosując ataki brute force na wewnętrzne węzły i sieci oraz inne metody. Aktywnie wykorzystywane są również luki w protokole Remote Desktop Protocol i aplikacjach dostępnych publicznie.

    Gdy atakujący wprowadzą LockBit do sieci organizacji, kończą etap przygotowawczy, aby zwiększyć przyszły zasięg i skalę szkód spowodowanych atakiem oprogramowania wymuszającego okup. Organizacje posiadające proste, niesegmentowane sieci mają znacznie mniej czasu na reakcję na naruszenie bezpieczeństwa.

  2. Infiltracja. Kod LockBit zaczyna brać udział w ataku. Od tego momentu skrypt wykonuje wszystkie czynności i wykorzystuje techniki eskalacji uprawnień, aby uzyskać wymagany dostęp. Następnie oprogramowanie wymuszające okup wyłącza wewnętrzne zapory bezpieczeństwa oraz rozwiązania do wykrywania i powiadamiania o złośliwym oprogramowaniu, aby zyskać więcej możliwości działania destrukcyjnego i pozostać poza zasięgiem zespołu ds. bezpieczeństwa.

    Głównym celem oprogramowania wymuszającego okup jest tutaj dotarcie do jak największej ilości danych, co zwiększa szkody i uniemożliwia samodzielne odzyskiwanie danych.

    Na tym etapie oprogramowanie wymuszające okup Lockbit może wykonać następujące działania, aby uzyskać wymagany poziom dostępu:

    • Zakończenie usług i procesów
    • Wykonanie poleceń
    • Usunięcie plików dziennika

    LockBit 3.0 może ominąć kontrolę konta użytkownika (UAC) systemu Windows, wykonując złośliwy kod z podwyższonymi uprawnieniami przy użyciu modelu Component Object Model, na przykład:

    %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

    Lockbit usuwa kopie w tle przy użyciu interfejsu Windows Management Instrumentation (WMI). Najpierw oprogramowanie wymuszające okup wyszukuje i identyfikuje kopie w tle:

    select * from Win32_ShadowCopy

    Następnie usuwa je za pomocą DeleteInstance.

    Usługi o tych nazwach są zabijane przez oprogramowanie wymuszające okup LockBit: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD oraz GxCIMgr.

    Zabijane są następujące procesy: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad oraz notepad.

    Po zabiciu procesów wcześniej otwarte pliki używane przez te procesy mogą zostać zmodyfikowane lub usunięte.

  3. Wdrażanie. Ten etap rozpoczyna się, gdy atakujący uznają infrastrukturę organizacji za wystarczająco osłabioną, aby rozpocząć szyfrowanie. Następnie zainfekowany węzeł systemu posiadający wymagane uprawnienia nakazuje innym obciążeniom w sieci pobranie i uruchomienie kodu złośliwego oprogramowania.

    Atakujący wykorzystujący LockBit mogą użyć StealBit do wykradzenia interesujących danych, zanim zostaną one zaszyfrowane. Ryzyko wycieku danych jest kolejnym elementem ataków oprogramowania wymuszającego okup LockBit.

    Następnie dane na dostępnych węzłach są szyfrowane, a LockBit dodaje do każdego folderu plik .txt zawierający instrukcje dotyczące płatności. Typowy format nazw plików .txt to RansomwareID.README.txt.

Jedną z najbardziej niepokojących funkcji LockBita jest samorozprzestrzenianie się, co ułatwia zadanie atakującym i ogólnie przyspiesza ataki. Po uzyskaniu uprawnień administratora w środowisku organizacji haker musi jedynie uruchomić oprogramowanie wymuszające okup, a kod zajmie się resztą, dostarczając pliki wykonywalne LockBita do innych dostępnych hostów.

Odszyfrowywanie zaszyfrowanych plików jest możliwe dopiero po spełnieniu żądań hakerów i otrzymaniu specjalnego narzędzia od twórców LockBit. Jak wspomniano powyżej, innym powodem, dla którego warto się zgodzić, jest zapobieżenie upublicznieniu wrażliwych lub osobistych danych.

Oznaki infekcji LockBit

Oprogramowanie wymuszające okup LockBit zmienia wartości rejestru, w tym te odpowiedzialne za edycję i aktualizację zasad grupy. Polecenie aktualizacji zasad grupy po zmianach wprowadzonych przez LockBit to:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Niektóre oznaki w rejestrze wskazujące na infekcję LockBit mogą obejmować:

  • Ikona oprogramowania wymuszającego okup:

    HKCR.

    HKCRDefaultIcon

    z wartością powiązaną z C:ProgramData.ico

  • Tapeta pulpitu oprogramowania wymuszającego okup:

    HKCUControlPanelDesktopWallPaper

    z wartością C:ProgramData.bmp

  • Włączanie automatycznego logowania do systemu Windows:

    SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon z odpowiednimi wartościami

    AutoAdminLogon 1

    DefaultUserName

    DefaultDomainName

Należy pamiętać o ścieżkach, w których oprogramowanie wymuszające okup wdraża swoje pliki:

  • ADMIN$TempLockBit3.0_Filename.exe
  • %SystemRoot%TempLockBit3.0_Filename.exe
  • Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (na kontrolerze domeny)

Jak chronić dane przed zagrożeniem LockBit

Ochrona systemów przed oprogramowaniem wymuszającym okup oraz ogólnie przed złośliwym oprogramowaniem obejmuje dwa aspekty:

  1. Środki bezpieczeństwa, czyli próba zapobiegania infekcji już na samym początku
  2. Strategie ochrony danych: przywracanie po incydencie przy minimalnej utracie danych i przestoju – bez płacenia okupu

Przyjrzyjmy się każdemu z nich bardziej szczegółowo.

Środki bezpieczeństwa

  • Regularnie aktualizuj system operacyjny, oprogramowanie i oprogramowanie sprzętowe ponieważ przestarzałe komponenty mogą zawierać luki w zabezpieczeniach, które hakerzy mogą wykorzystać do wprowadzenia oprogramowania wymuszającego okup do Twojej infrastruktury. Programiści zazwyczaj szybko naprawiają takie ujawnione luki i słabe punkty zabezpieczeń, aby chronić klientów.
  • Zastosuj segmentację sieci w celu skonfiguruj sieć swojej organizacji podziału na oddzielne sekcje. Intruz skanujący po raz pierwszy segmentowaną sieć nie wie, które dane znajdują się w którym segmencie. W związku z tym haker może potrzebować znacznie więcej czasu i wysiłku na przeprowadzenie rozpoznania i skuteczne włamanie. Chociaż nie wydaje się to dotyczyć konkretnie LockBita, niektórzy cyberprzestępcy korzystający z innych wersji oprogramowania wymuszającego okup mogą zrezygnować z ataku na organizację posiadającą bezpieczną, segmentowaną sieć.
  • Wyłącz nieużywane porty w swojej sieci. Otwarty port to po prostu dodatkowa luka, którą złośliwy podmiot może wykorzystać, aby uzyskać nieautoryzowany dostęp do wewnętrznych węzłów i przeprowadzić atak.
  • Monitoruj sieci pod kątem anomalii w zachowaniu za pomocą rozwiązań do aktywnego monitorowania sieci i węzłów. Może to znacznie zwiększyć Twoją świadomość sytuacyjną w dowolnym momencie. Oprócz umożliwienia dokładnego testowania i eliminowania wąskich gardeł przepustowości sieci, gdy tylko się pojawią, aktywne monitorowanie pomaga szybko wykrywać luki w zabezpieczeniach. Szybki czas reakcji może pomóc w złagodzeniu skutków ataku, a nawet zapobiec rozprzestrzenianiu się złośliwego oprogramowania.
  • Korzystaj z oprogramowania antywirusowego wykrywającego zagrożenia w czasie rzeczywistym. Pomimo podobieństw do rozwiązań monitorujących, rozwiązania antywirusowe mogą zapewnić funkcje monitorowania urządzeń, w tym serwerów i stacji roboczych, oprócz monitorowania sieci.

    To prawda, że LockBit jest podstępny i potrafi oszukać skanery złośliwego oprogramowania, ale hakerzy mogą używać innych, mniej ukrytych narzędzi do przygotowywania i wspierania swoich ataków. Aktywny program antywirusowy działający w czasie rzeczywistym powiadomi Cię, gdy coś pójdzie nie tak w środowisku organizacji.

  • Zintegruj rozwiązania antyphishingowe , aby przeciwdziałać technikom inżynierii społecznej stosowanym przez partnerów LockBit w celu naruszenia bezpieczeństwa organizacji. Wyłączenie hiperłączy w wiadomościach e-mail i dodanie banerów ostrzegawczych dla wiadomości e-mail pochodzących spoza organizacji może pomóc w zmniejszeniu ryzyka, że nieuważny członek zespołu kliknie link phishingowy.

Strategia ochrony danych

Biorąc pod uwagę, że LockBit może się wprowadzić niezauważony i oszukać narzędzia do monitorowania zagrożenia, musisz mieć drugą linię obrony, aby zapewnić sobie możliwość odzyskania danych po faktycznym wystąpieniu incydentu związanego z oprogramowaniem wymuszającym okup. Plan reagowania na incydenty powinien obejmować strategię tworzenia kopii zapasowych danych i odzyskiwania awaryjnego.

Stwórz plan ochrony danych.

  • Zidentyfikuj krytyczne maszyny wirtualne i aplikacje. Aby uniknąć utraty danych, utrzymać ciągłość działania i zapewnić zgodność z przepisami nawet po ataku oprogramowania wymuszającego okup, należy chronić swoje maszyny za pomocą kopii zapasowych i replikacji. Pierwszym krokiem w strategii ochrony danych jest sporządzenie wykazu kluczowych danych i maszyn niezbędnych do działania serwisu ciągłość działania. Kolejnym krokiem jest określenie stopnia krytyczności każdej maszyny, co pomoże ustalić częstotliwość tworzenia kopii zapasowych, zasady przechowywania danych oraz cele odzyskiwania.
  • Należy zdefiniować biznesowe cele RPO i RTO. Dzięki jasnemu zrozumieniu, gdzie znajdują się kluczowe dane, można ustawić odpowiedni cel punktu odzyskiwania (RPO) i cel związany z czasem odzyskiwania (RTO) dla każdego typu urządzenia produkcyjnego. RPO i RTO odnoszą się do maksymalnej ilości utraty danych i przestoju, jaki Twoja firma jest w stanie tolerować.
  • Ustal harmonogram testów ochrony danych. Przeprowadzaj regularne kopie zapasowe i Testowanie strategii DR oraz upewnij się, że każdy członek zespołu rozumie swoją rolę w procesie odzyskiwania. Najgorszym momentem na stwierdzenie, że dane są nie do odzyskania, jest sytuacja, gdy oryginalne dane zostały już utracone lub poddane szyfrowaniu.

Postępuj zgodnie z zasadą tworzenia kopii zapasowych 3-2-1-1.

  • Zachowaj jak najwięcej kopii danych. Określ liczbę tworzonych kopii zapasowych oraz zasady przechowywania w oparciu o stopień krytyczności danego urządzenia lub aplikacji. Aby zapewnić sobie jak największe szanse na odzyskanie danych, zastosuj strategię tworzenia kopii zapasowych 3-2-1: zawsze twórz co najmniej trzy (3) kopie danych: dane główne i dwie kopie zapasowe. Po drugie, przechowuj dane na dwóch (2) różnych nośnikach. Po trzecie, przechowuj jedną (1) kopię zdalnie, aby zapewnić odzyskanie danych w przypadku awarii w miejscu pracy.
  • Chroń kopie zapasowe przed oprogramowaniem wymuszającym okup. Atakujący stanowią zagrożenie dla danych kopii zapasowej w takim samym stopniu, jak dla maszyn produkcyjnych. Dlatego obecnie zasada wykonywania kopii zapasowej została rozszerzona o dodatkową kopię niezmienną. Niezmienność wykorzystuje model „zapisz raz, czytaj wielokrotnie” w celu ochrony danych przed uszkodzeniem, szyfrowaniem i usunięciem. Oznacza to, że nowe ataki oprogramowania ransomware nie mogą manipulować tymi danymi, a kopia niezmienna może zostać wykorzystana do odzyskiwania danych, jeśli dane produkcyjne są niedostępne.

Korzystanie z rozwiązania do ochrony danych firmy NAKIVO

Dedykowane rozwiązanie do ochrony danych pozwala zautomatyzować procesy ochrony danych, aby uniknąć nadmiernego obciążania zasobów i zapobiec lukom w przechowywaniu danych. NAKIVO Backup & Replication to kompleksowe rozwiązanie do ochrony danych, które obsługuje obciążenia wirtualne, fizyczne, w chmurze, SaaS oraz infrastruktury hybrydowe. Wdrażając rozwiązanie firmy NAKIVO, uzyskasz pełną kontrolę i wgląd w infrastrukturę ochrony danych za pośrednictwem interfejsu internetowego, niezależnie od używanych platform: VMware vSphere, Microsoft Hyper-V, Windows, Linux, Microsoft 365 itp.

Rozwiązanie zapewnia również wszystkie funkcje niezbędne do stosowania zasady 3-2-1-1, w tym niezmienność i obsługę warstw danych kopii zapasowych:

  • Niezmienne kopie zapasowe przesyłane do chmury (Amazon S3, Wasabi, Backblaze B2 i inne platformy zgodne z usługą S3) oraz do lokalnej pamięci masowej opartej na systemie Linux (w tym urządzenia NAS)
  • Automatyzacja tworzenia kopii zapasowej z wykorzystaniem łańcucha zadań, umożliwiająca dywersyfikację pamięci masowej poprzez kopie zapasowe zdalne i na taśmach dzięki tworzeniu zautomatyzowanych przepływów pracy
  • Funkcje bezpieczeństwa zapobiegające nieautoryzowanemu dostępowi, w tym Uwierzytelnianie dwuskładnikowe (2FA) oraz kontrola dostępu na podstawie ról (RBAC), pomagające w stosowaniu zasady minimalnych uprawnień (PoLP), ograniczając uprawnienia dostępu członków zespołu w oparciu o ich obowiązki w organizacji
  • Zintegrowane funkcje DR, takie jak Replikacja w czasie rzeczywistym i Odzyskiwanie lokacji mogą pomóc w spełnieniu wymagań RPO wynoszących 1 sekundę oraz najkrótszych RTO
  • Opcje pełnego i szczegółowego odzyskiwania zapewniają elastyczność pozwalającą na odzyskanie dokładnie tego, czego potrzebujesz, w najkrótszym czasie
Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Jak przyspieszyć tworzenie kopii zapasowej maszyn wirtualnych i poprawić wydajność
Picture
Podstawy tworzenia skryptów PowerCLI dla VMware vSphere
Picture
Przewodnik po tworzeniu kopii zapasowej VMware: metody i najlepsze rozwiązania