Phần mềm tống tiền LockBit: Những điều bạn cần biết để phòng tránh

LockBit vẫn là mối đe dọa hàng đầu đối với các tổ chức trong bối cảnh ransomware vô cùng đa dạng. Trong nửa đầu năm 2023, có số vụ tấn công LockBit thành công nhiều hơn so với bất kỳ họ ransomware nào khác, với BlackCat và Clop lần lượt đứng thứ hai và thứ ba.

LockBit tiếp tục xâm nhập thành công vào các công ty hàng đầu thế giới và các cơ quan chính phủ trong suốt năm 2023. Ví dụ, vào tháng 10, nhóm LockBit đã đã nhận trách nhiệm về vụ vi phạm dữ liệu cá nhân của Chính phủ Canada, tuyên bố rằng 1,5 terabyte tài liệu lưu trữ, bao gồm dữ liệu cá nhân của các quan chức nhà nước, đã bị đánh cắp. Các nạn nhân nổi bật khác bao gồm Boeing, Chi nhánh tại Mỹ của ICBC (ngân hàng lớn nhất Trung Quốc) và Bộ Quốc phòng Vương quốc Anh.

Hãy nói không với các vụ tống tiền cùng NAKIVO

Sử dụng bản sao lưu để khôi phục dữ liệu nhanh chóng sau các cuộc tấn công ransomware. Nhiều tùy chọn khôi phục, bộ nhớ cục bộ và đám mây không thể thay đổi, các tính năng tự động hóa khôi phục và nhiều hơn nữa.

KHÁM PHÁ GIẢI PHÁP

LockBit Ransomware là gì?

LockBit là một loại ransomware tống tiền kép được phát triển bởi nhóm tội phạm cùng tên, với trang web Các cuộc tấn công LockBit đầu tiên đã xuất hiện từ năm 2019. Nhóm LockBit phát triển và phân phối ransomware này cho các đối tác theo mô hình ransomware-as-a-service (RaaS), đổi lại là một phần lợi nhuận từ các khoản tiền chuộc thu được. Các đối tác được tuyển dụng sử dụng ransomware này để thực hiện các cuộc tấn công. Nó được coi là ransomware tống tiền kép vì LockBit cũng đánh cắp dữ liệu, và Sau đó, những kẻ tấn công mạng đe dọa sẽ đăng tải dữ liệu này lên các trang web rò rỉ thông tin.

Sự phát triển của ransomware LockBit

Ransomware LockBit đã trải qua nhiều phiên bản kể từ khi lần đầu tiên được xác định là ABCD ransomware, trở nên tinh vi hơn theo thời gian. LockBit liên tục được cải tiến để xâm nhập vào các mạng được bảo vệ và tránh bị phát hiện. Kẻ tấn công tích cực điều tra các hệ thống bảo mật để tìm ra lỗ hổng và sử dụng kỹ thuật xã hội cùng các phương pháp khác để đảm bảo thành công cho các cuộc tấn công của mình.

Hãy cùng xem xét các phiên bản cho đến nay:

ABCD

ABCD là phiên bản đầu tiên của phần mềm tống tiền do nhóm LockBit phát triển, lần đầu tiên được phát hiện vào tháng 9 năm 2019. Tên gọi này phản ánh phần mở rộng .abcd được thêm vào các tệp sau khi mã hóa. Phiên bản phần mềm tống tiền này cũng tạo ra một tệp Notepad có tiêu đề Restore-My-Files.txt trong mỗi thư mục chứa dữ liệu đã được mã hóa. Tệp này mô tả quy trình thanh toán tiền chuộc và khôi phục dữ liệu.

LockBit

LockBit 1.0 hoặc đơn giản là LockBit là phiên bản thứ hai của phần mềm tống tiền này, thêm phần mở rộng .LockBit vào các tệp đã được mã hóa thay vì .abcd. Phiên bản này không khác biệt nhiều so với phiên bản ABCD về mặt thiết kế và thực thi. Chỉ có một số thay đổi nhỏ được thực hiện trong mã nguồn phía sau.

LockBit 2.0

LockBit 2.0, lần đầu tiên được phát hiện hoạt động vào tháng 6 năm 2021, đã được sửa đổi và cập nhật để trở thành một mối đe dọa nghiêm trọng hơn. Phiên bản này tận dụng các thuật toán tiêu chuẩn mã hóa nâng cao (AES) và mật mã đường cong elip (ECC) để mã hóa dữ liệu. Những kẻ tấn công sử dụng các công cụ thường được các đội ngũ CNTT trong hầu hết các tổ chức sử dụng để thực thi mã độc và lây lan nó qua các hệ thống. Với phiên bản 2.0, tin tặc đã sử dụng các lệnh Windows Management Instrumentation (WMI), kết nối giao thức SMB và các công cụ PowerShell.

LockBit 2.0 hoạt động ngoại tuyến và sau khi lây nhiễm, quá trình mã hóa sẽ tiếp tục bất kể máy có được kết nối với mạng hay không. Bên cạnh đó, LockBit 2.0 có bảng điều khiển quản trị có thể truy cập qua trình duyệt TOR , cho phép tội phạm mạng theo dõi các cuộc tấn công của mình.

LockBit 3.0 (còn gọi là LockBit Black)

LockBit Black hoặc LockBit 3.0 là phiên bản tiếp theo được phát hành vào tháng 6 năm 2022. Phiên bản này có khả năng né tránh và tính mô-đun cao hơn so với các phiên bản trước, đồng thời bổ sung các tùy chọn có thể tùy chỉnh để sử dụng trong quá trình biên dịch và thực thi mã độc. Hành vi của LockBit Black có thể được điều chỉnh thêm sau khi thực thi bằng các tham số bổ sung. Ngoài ra, phiên bản này tích hợp các tính năng từ các phần mềm tống tiền khác như Blackcat và Blackmatter.

Các đối tác của LockBit 3.0 phải cung cấp mật khẩu chính xác để thực thi phần mềm tống tiền, tức là giải mã tệp thực thi bằng khóa mã hóa. Mức độ bảo vệ này giúp LockBit 3.0 đánh lừa các trình quét phần mềm độc hại, ngăn chúng phân tích mã nguồn.

Rất khó để phát hiện các thành phần thực thi của LockBit 3.0 bằng các giải pháp chống vi-rút và chống phần mềm độc hại sử dụng nguyên tắc phát hiện dựa trên chữ ký vì thành phần được mã hóa của tệp thực thi thay đổi. Thành phần này sử dụng khóa mật mã để mã hóa đồng thời tạo ra một hàm băm duy nhất. Sau khi kẻ tấn công nhập mật khẩu chính xác (nghĩa là khóa giải mã là chính xác), phần chính của LockBit 3.0 sẽ được giải mã. Sau đó, mã được giải mã và giải nén, cho phép ransomware tiếp tục thực thi.

LockBit Green

LockBit Green, được phát hành vào tháng 1 năm 2023, là phiên bản thứ năm của LockBit được sửa đổi đặc biệt để nhắm mục tiêu vào các dịch vụ dựa trên đám mây. Thế hệ này có giao diện và bộ tính năng mới so với các phiên bản trước. Tuy nhiên, LockBit Green có các phần mã từng thuộc về một ransomware khóa tệp khác Conti, hiện không còn hoạt động.

Phần mở rộng tệp của ransomware LockBit

Sau khi xâm nhập thành công và mã hóa dữ liệu, LockBit thay đổi phần mở rộng của các tệp gốc thành một trong các định dạng sau:

• .abcd (phiên bản cũ ABCD của ransomware)
• .lockbit (LockBit và LockBit 2.0)
• Một chuỗi ngẫu nhiên gồm 9 ký tự (LockBit 3.0 và LockBit Green)

Các giai đoạn chính của một cuộc tấn công ransomware LockBit

Một cuộc tấn công ransomware LockBit thường diễn ra theo 3 giai đoạn:

1. Xâm nhập. Kẻ tấn công vượt qua hàng rào bảo mật của tổ chức bằng cách gửi email lừa đảo, giả mạo danh tính của các giám đốc điều hành để lấy thông tin đăng nhập quản trị, sử dụng các cuộc tấn công brute force vào các nút và mạng nội bộ, cùng các phương pháp khác. Các lỗ hổng của Remote Desktop Protocol và các ứng dụng công khai cũng được sử dụng tích cực.

   Sau khi xâm nhập LockBit vào mạng của tổ chức, các kẻ tấn công sẽ hoàn tất giai đoạn chuẩn bị nhằm gia tăng phạm vi và mức độ thiệt hại của cuộc tấn công ransomware trong tương lai. Các tổ chức có mạng lưới đơn giản, không được phân đoạn sẽ có ít thời gian hơn đáng kể để phản ứng trước sự cố xâm nhập.

2. Giai đoạn xâm nhập. Mã độc LockBit bắt đầu tham gia vào cuộc tấn công. Tập lệnh sẽ hoàn tất tất cả các hoạt động từ đây trở đi và sử dụng các kỹ thuật nâng cao đặc quyền để có được quyền truy cập cần thiết. Sau đó, ransomware vô hiệu hóa các tường lửa bảo mật nội bộ, cũng như các giải pháp phát hiện và thông báo phần mềm độc hại để có thêm cơ hội thực hiện các hành động phá hoại và tránh bị đội ngũ bảo mật phát hiện.

   Mục tiêu chính của ransomware ở đây là tiếp cận càng nhiều dữ liệu càng tốt, từ đó gia tăng thiệt hại và ngăn chặn việc khôi phục dữ liệu độc lập.

   Trong giai đoạn này, ransomware Lockbit có thể thực hiện các hành động sau để đạt được mức độ truy cập cần thiết:

   • Ngừng các dịch vụ và quy trình
   • Thực thi lệnh
   • Xóa các tệp nhật ký

   LockBit 3.0 có thể vượt qua Windows UAC bằng cách thực thi mã độc hại với quyền truy cập cao hơn thông qua Component Object Model, ví dụ:

   %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

   Lockbit xóa các bản sao bóng bằng cách sử dụng Windows Management Instrumentation (WMI). Đầu tiên, phần mềm tống tiền truy vấn và xác định các bản sao lưu:

   select * from Win32_ShadowCopy

   Sau đó, phần mềm tống tiền xóa các bản sao lưu bằng DeleteInstance.

   Các dịch vụ có tên sau đây bị phần mềm tống tiền LockBit ngắt: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD và GxCIMgr.

   Các quy trình sau đây bị ngắt: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad và notepad.

   Sau khi ngắt các quy trình, các tệp đã mở trước đó được sử dụng bởi các quy trình này có thể bị sửa đổi hoặc xóa.

3. Triển khai. Giai đoạn này được khởi động khi kẻ tấn công cho rằng hạ tầng của tổ chức đã bị suy yếu đủ để bắt đầu thực thi mã hóa. Sau đó, nút hệ thống bị xâm nhập có quyền cần thiết sẽ ra lệnh cho các khối lượng công việc khác trong mạng tải xuống và thực thi mã phần mềm độc hại.

   Những kẻ tấn công LockBit có thể sử dụng StealBit để lấy cắp dữ liệu quan trọng trước khi dữ liệu này bị mã hóa. Khả năng rò rỉ dữ liệu là một thành phần khác của các cuộc tấn công ransomware LockBit.

   Sau đó, dữ liệu trên các nút trong phạm vi tiếp cận sẽ bị mã hóa và LockBit thêm một .txt tệp chứa hướng dẫn thanh toán vào mọi thư mục. Định dạng tên tiêu biểu của các tệp .txt là RansomwareID.README.txt.

Một trong những tính năng đáng lo ngại nhất của LockBit là khả năng tự lây lan, giúp đơn giản hóa công việc cho kẻ tấn công và đẩy nhanh tốc độ tấn công nói chung. Sau khi giành được quyền truy cập quản trị vào môi trường của một tổ chức, hacker chỉ cần khởi chạy phần mềm tống tiền, phần mã sẽ tự động thực hiện phần còn lại để phân phối các tệp thực thi LockBit đến các máy chủ khác trong phạm vi tiếp cận.

Việc giải mã các tệp bị mã hóa chỉ có thể thực hiện sau khi tuân thủ yêu cầu của hacker và nhận được công cụ độc quyền từ các nhà phát triển LockBit. Như đã đề cập ở trên, một lý do khác để tuân thủ là để ngăn chặn việc chia sẻ công khai dữ liệu nhạy cảm hoặc cá nhân.

Các dấu hiệu của nhiễm LockBit

Phần mềm tống tiền LockBit thay đổi các giá trị trong sổ đăng ký, bao gồm các giá trị chịu trách nhiệm chỉnh sửa và cập nhật chính sách nhóm. Lệnh để cập nhật chính sách nhóm sau khi LockBit thực hiện thay đổi là:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Một số dấu hiệu trong sổ đăng ký cho thấy sự lây nhiễm LockBit có thể bao gồm:

• Biểu tượng ransomware:

  HKCR.

  HKCRDefaultIcon

  với giá trị liên kết đến C:ProgramData.ico

• Hình nền desktop ransomware:

  HKCUControlPanelDesktopWallPaper

  với giá trị là C:ProgramData.bmp

• Kích hoạt đăng nhập tự động vào Windows:

  SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon với các giá trị phù hợp

  AutoAdminLogon 1

  DefaultUserName

  DefaultDomainName

Hãy lưu ý các đường dẫn nơi ransomware triển khai các tệp của nó:

• ADMIN$TempLockBit3.0_Filename.exe
• %SystemRoot%TempLockBit3.0_Filename.exe
• Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (trên Máy chủ miền)

Cách bảo vệ dữ liệu khỏi mối đe dọa LockBit

Bảo vệ hệ thống của bạn khỏi phần mềm tống tiền và phần mềm độc hại nói chung bao gồm hai khía cạnh:

1. Các biện pháp bảo mật, tức là cố gắng ngăn chặn nhiễm trùng ngay từ đầu
2. Các chiến lược bảo vệ dữ liệu: khôi phục sau sự cố với mức mất mát dữ liệu và thời gian ngừng hoạt động tối thiểu – mà không phải trả tiền chuộc

Hãy xem xét từng khía cạnh này chi tiết hơn.

Các biện pháp bảo mật

• Cập nhật thường xuyên hệ điều hành, phần mềm và firmware vì các thành phần lỗi thời có thể có lỗ hổng mà hacker có thể khai thác để tiêm ransomware vào hạ tầng của bạn. Các nhà phát triển thường vá các lỗ hổng bảo mật và điểm yếu đã được phát hiện một cách nhanh chóng để bảo vệ khách hàng.
• Áp dụng phân đoạn mạng để Cấu hình mạng của tổ chức bạn vào các khu vực riêng biệt. Một kẻ xâm nhập quét qua mạng đã được phân đoạn lần đầu tiên sẽ không biết dữ liệu nào nằm trong phân đoạn nào. Do đó, một hacker có thể cần nhiều thời gian và công sức hơn đáng kể để tiến hành trinh sát và xâm nhập thành công. Mặc dù điều này dường như không đúng với trường hợp cụ thể của LockBit, một số tội phạm mạng sử dụng các phiên bản ransomware khác có thể quyết định không tấn công một tổ chức có mạng lưới được phân đoạn an toàn.
• Vô hiệu hóa các cổng không sử dụng trên mạng của bạn. Một cổng mở chỉ là một lỗ hổng bổ sung mà kẻ xấu có thể tận dụng để truy cập trái phép vào các nút nội bộ và thực hiện cuộc tấn công.
• Theo dõi mạng để phát hiện các hành vi bất thường bằng các giải pháp giám sát chủ động cho mạng và các nút. Điều này có thể tăng cường đáng kể khả năng nhận thức tình huống của bạn tại bất kỳ thời điểm nào. Ngoài việc cho phép kiểm tra kỹ lưỡng và loại bỏ các điểm nghẽn băng thông mạng mỗi khi chúng xuất hiện, giám sát chủ động giúp phát hiện lỗ hổng nhanh chóng. Thời gian phản ứng nhanh có thể giúp bạn giảm thiểu hậu quả của cuộc tấn công hoặc thậm chí ngăn chặn phần mềm độc hại lây lan.
• Sử dụng phần mềm diệt virus phát hiện mối đe dọa theo thời gian thực. Mặc dù có những điểm tương đồng với các giải pháp giám sát, các giải pháp diệt virus có thể cung cấp cho bạn khả năng giám sát thiết bị, bao gồm máy chủ và máy trạm ngoài việc giám sát mạng.

  Đúng là LockBit rất tinh vi và có thể đánh lừa các trình quét phần mềm độc hại, nhưng hacker có thể sử dụng các công cụ khác, ít tinh vi hơn để thiết lập và hỗ trợ các cuộc tấn công của họ. Một phần mềm diệt virus hoạt động theo thời gian thực sẽ thông báo cho bạn khi có sự cố xảy ra trong môi trường của tổ chức.

• Tích hợp các giải pháp chống lừa đảo để đối phó với các kỹ thuật công trình xã hội mà các đối tác của LockBit sử dụng để xâm nhập vào hệ thống bảo mật của tổ chức. Vô hiệu hóa các liên kết trong email và thêm các banner cảnh báo cho email từ bên ngoài tổ chức có thể giúp bạn giảm thiểu rủi ro khi một thành viên trong nhóm vô tình nhấp vào liên kết lừa đảo.

Chiến lược bảo vệ dữ liệu

Do LockBit có thể xâm nhập mà không bị phát hiện và đánh lừa các công cụ giám sát mối đe dọa, bạn cần có một tuyến phòng thủ thứ hai để đảm bảo có thể khôi phục sau khi sự cố ransomware thực sự xảy ra. Kế hoạch ứng phó sự cố của bạn nên bao gồm chiến lược sao lưu dữ liệu và khôi phục thảm họa.

Tạo kế hoạch bảo vệ dữ liệu.

• Xác định các máy ảo (VM) và ứng dụng quan trọng. Để tránh mất dữ liệu, duy trì thời gian hoạt động và đảm bảo tuân thủ ngay cả sau một cuộc tấn công ransomware, bạn nên sử dụng sao lưu và sao chép để bảo vệ các máy của mình. Bước đầu tiên trong chiến lược bảo vệ dữ liệu là rà soát các dữ liệu quan trọng và các máy chủ cần thiết cho duy trì hoạt động kinh doanh. Bước tiếp theo là xác định mức độ quan trọng của từng máy chủ để giúp bạn xác định tần suất sao lưu, chính sách lưu trữ và các mục tiêu khôi phục.
• Xác định các mục tiêu RPO và RTO của doanh nghiệp. Với sự hiểu biết rõ ràng về vị trí lưu trữ dữ liệu quan trọng, bạn có thể thiết lập mục tiêu điểm khôi phục (RPO) và mục tiêu thời gian khôi phục (RTO) phù hợp cho từng loại máy chủ sản xuất. RPO và RTO Tham khảo mức độ mất dữ liệu và thời gian ngừng hoạt động tối đa mà doanh nghiệp có thể chấp nhận.
• Thiết lập lịch trình kiểm tra bảo vệ dữ liệu. Thực hiện sao lưu định kỳ và Thử nghiệm chiến lược DR và đảm bảo mỗi thành viên trong nhóm hiểu rõ vai trò của mình trong quá trình khôi phục. Thời điểm tồi tệ nhất để phát hiện ra rằng dữ liệu của bạn không thể khôi phục là khi dữ liệu gốc đã bị mất hoặc bị mã hóa.

Tuân thủ quy tắc sao lưu 3-2-1-1.

• Giữ càng nhiều bản sao dữ liệu càng tốt. Quyết định số lượng bản sao lưu cần tạo và chính sách lưu trữ dựa trên mức độ quan trọng của máy tính hoặc ứng dụng. Để có cơ hội phục hồi tốt nhất, hãy áp dụng chiến lược sao lưu 3-2-1: luôn tạo ít nhất ba (3) bản sao dữ liệu: dữ liệu chính và hai bản sao lưu. Thứ hai, lưu trữ dữ liệu trên hai (2) loại phương tiện lưu trữ khác nhau. Thứ ba, giữ một (1) bản sao tại địa điểm khác để đảm bảo phục hồi trong trường hợp thảm họa xảy ra tại cơ sở sản xuất.
• Bảo vệ bản sao lưu khỏi ransomware. Kẻ tấn công là mối đe dọa đối với dữ liệu sao lưu cũng như đối với các máy chủ sản xuất. Đó là lý do tại sao, ngày nay, quy tắc sao lưu đã được mở rộng để bao gồm một bản sao bất biến bổ sung. Tính bất biến sử dụng mô hình “ghi một lần, đọc nhiều lần” để bảo vệ dữ liệu khỏi sự hỏng hóc, mã hóa và xóa bỏ. Điều này có nghĩa là các cuộc tấn công ransomware mới không thể can thiệp vào dữ liệu này, và bản sao bất biến có thể được sử dụng để khôi phục nếu dữ liệu sản xuất không thể truy cập được.

Sử dụng Giải pháp Bảo vệ Dữ liệu của NAKIVO

Một giải pháp bảo vệ dữ liệu chuyên dụng cho phép bạn tự động hóa các quy trình bảo vệ dữ liệu để tránh quá tải tài nguyên và ngăn chặn các lỗ hổng lưu trữ. NAKIVO Backup & Replication là một giải pháp bảo vệ dữ liệu toàn diện hỗ trợ các tải công việc ảo, vật lý, đám mây, SaaS và cơ sở hạ tầng lai. Bằng cách triển khai giải pháp của NAKIVO, bạn sẽ có quyền kiểm soát và khả năng hiển thị hoàn toàn đối với cơ sở hạ tầng bảo vệ dữ liệu của mình thông qua giao diện web, bất kể nền tảng nào được sử dụng: VMware vSphere, Microsoft Hyper-V, Windows, Linux, Microsoft 365, v.v.

Giải pháp này cũng cung cấp tất cả các tính năng cần thiết để áp dụng quy tắc 3-2-1-1, bao gồm tính bất biến và phân tầng dữ liệu sao lưu:

• Sao lưu bất biến được gửi lên đám mây (Amazon S3, Wasabi, Backblaze B2 và các nền tảng tương thích S3 khác), lưu trữ cục bộ dựa trên Linux (bao gồm các thiết bị NAS)
• Tự động hóa sao chép bản sao lưu với Job Chaining để cho phép bạn đa dạng hóa lưu trữ với các bản sao lưu ngoài cơ sở và trên băng từ bằng cách tạo các quy trình làm việc tự động
• Các tính năng bảo mật để ngăn chặn truy cập trái phép, bao gồm xác thực hai yếu tố (2FA) và kiểm soát truy cập dựa trên vai trò (RBAC) để giúp bạn áp dụng nguyên tắc đặc quyền tối thiểu (PoLP), giới hạn quyền truy cập của các thành viên trong nhóm dựa trên trách nhiệm của họ trong tổ chức của bạn
• Các tính năng DR tích hợp như Sao chép theo thời gian thực và Khôi phục trang web có thể giúp bạn đáp ứng RPO trong 1 giây và RTO chặt chẽ nhất
• Các tùy chọn khôi phục toàn bộ và chi tiết cung cấp cho bạn sự linh hoạt để khôi phục chính xác những gì bạn cần trong thời gian ngắn nhất

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí