Mọi thứ bạn cần biết về họ ransomware LockBit

Nếu thường xuyên cập nhật về các mối đe dọa an ninh mạng, bạn có thể biết ransomware đã trở nên phổ biến một cách nguy hiểm như thế nào. Loại phần mềm độc hại này là một mối đe dọa lớn đối với các cá nhân và tổ chức, với một số chủng loại hiện đang trở thành lựa chọn hàng đầu cho các tác nhân độc hại, bao gồm cả LockBit.

Vậy LockBit là gì, nó đến từ đâu và bạn có thể tự bảo vệ mình khỏi ransomware này như thế nào?

Ransomware LockBit là gì?

Mặc dù LockBit bắt đầu là một dòng ransomware duy nhất, nhưng kể từ đó nó đã phát triển nhiều lần, với phiên bản mới nhất được gọi là "LockBit 3.0". LockBit bao gồm một nhóm các chương trình ransomware, hoạt động bằng mô hình Ransomware-as-a-Service (RaaS).

Ransomware-as-a-Service là một mô hình kinh doanh liên quan đến việc người dùng trả tiền để truy cập vào một loại ransomware nhất định để họ có thể sử dụng nó cho các cuộc tấn công riêng của họ. Thông qua điều này, người dùng đó trở thành chi nhánh và khoản thanh toán của họ có thể bao gồm một khoản phí cố định hoặc một dịch vụ dựa trên đăng ký. Nói tóm lại, những người tạo ra LockBit đã tìm ra cách để kiếm thêm lợi nhuận từ việc sử dụng nó bằng cách sử dụng mô hình RaaS này và thậm chí có thể nhận được một khoản tiền chuộc do nạn nhân trả.

Một số chương trình ransomware khác có thể được truy cập thông qua mô hình RaaS, bao gồm DarkSide và REvil. Bên cạnh đó, LockBit là một trong những loại ransomware phổ biến nhất được sử dụng hiện nay.

Cho rằng LockBit là một họ ransomware, việc sử dụng nó liên quan đến việc mã hóa các file của mục tiêu. Tội phạm mạng sẽ xâm nhập vào thiết bị của nạn nhân theo cách này hay cách khác, có thể thông qua email lừa đảo hoặc file đính kèm độc hại và sau đó sẽ sử dụng LockBit để mã hóa tất cả các file trên thiết bị để người dùng không thể truy cập được.

Khi các file của nạn nhân đã được mã hóa, kẻ tấn công sau đó sẽ yêu cầu một khoản tiền chuộc để đổi lấy khóa giải mã. Nếu nạn nhân không tuân thủ và trả tiền chuộc, rất có thể sau đó kẻ tấn công sẽ bán dữ liệu trên dark web để kiếm lời. Tùy thuộc vào dữ liệu là gì, điều này có thể gây ra thiệt hại không thể phục hồi đối với quyền riêng tư của cá nhân hoặc tổ chức, điều này có thể làm tăng áp lực trả tiền chuộc.

Nhưng phần mềm tống tiền cực kỳ nguy hiểm này đến từ đâu?

Nguồn gốc của ransomware LockBit

Không biết chính xác LockBit được phát triển khi nào, nhưng nó đã được công nhận từ năm 2019, thời điểm nó được tìm thấy lần đầu tiên. Phát hiện này được đưa ra sau làn sóng tấn công đầu tiên của LockBit, khi ransomware ban đầu được đặt tên là "ABCD" liên quan đến tên phần mở rộng của các file được mã hóa bị khai thác trong những cuộc tấn công. Nhưng khi những kẻ tấn công bắt đầu sử dụng phần mở rộng file ".lockbit" để thay thế, tên của ransomware đã thay đổi thành như ngày nay.

Mức độ phổ biến của LockBit đã tăng lên sau khi phát triển phiên bản thứ hai, LockBit 2.0. Vào cuối năm 2021, LockBit 2.0 ngày càng được sử dụng nhiều hơn cho các cuộc tấn công và khi những băng đảng ransomware khác đóng cửa, LockBit đã có thể tận dụng khoảng trống trên thị trường.

Trên thực tế, việc sử dụng LockBit 2.0 ngày càng tăng đã củng cố vị trí của nó là "biến thể ransomware được triển khai rộng rãi và có tác động mạnh nhất mà chúng tôi đã quan sát thấy trong tất cả các vụ vi phạm ransomware trong quý đầu tiên của năm 2022", theo một báo cáo của Palo Alto. Trên hết, Palo Alto đã tuyên bố trong cùng một báo cáo rằng các nhà điều hành của LockBit tuyên bố có phần mềm mã hóa nhanh nhất trong số các ransomware hiện đang hoạt động.

Ransomware LockBit đã được phát hiện ở nhiều quốc gia trên thế giới, bao gồm Trung Quốc, Mỹ, Pháp, Ukraine, Anh và Ấn Độ. Một số tổ chức lớn cũng đã được nhắm mục tiêu bằng cách sử dụng LockBit, bao gồm Accenture, một công ty dịch vụ chuyên nghiệp người Mỹ gốc Ireland.

Accenture đã bị vi phạm dữ liệu bởi LockBit sử dụng vào năm 2021, với những kẻ tấn công yêu cầu một khoản tiền chuộc khổng lồ 50 triệu đô la, với hơn 6TB dữ liệu được mã hóa. Accenture đã không đồng ý trả khoản tiền chuộc này, mặc dù công ty khẳng định rằng không có khách hàng nào bị ảnh hưởng bởi vụ tấn công.

LockBit 3.0 và những rủi ro của nó

Khi mức độ phổ biến của LockBit tăng lên, mỗi biến thể mới là một mối quan tâm thực sự. Phiên bản mới nhất của LockBit, được gọi là LockBit 3.0, đã trở thành một vấn đề, đặc biệt là trong hệ điều hành Windows.

Vào mùa hè năm 2022, LockBit 3.0 đã được sử dụng để load các Cobalt Strike payload có hại trên những thiết bị được nhắm mục tiêu thông qua việc khai thác Windows Defender. Trong làn sóng tấn công này, một file dòng lệnh thực thi được gọi là MpCmdRun.exe đã bị lạm dụng để các Cobalt Strike beacon có thể vượt qua sự phát hiện bảo mật.

LockBit 3.0 cũng đã được sử dụng để khai thác dòng lệnh VMWare được gọi là VMwareXferlogs.exe để một lần nữa triển khai payload Cobalt Strike. Không biết liệu những cuộc tấn công này sẽ tiếp tục hay phát triển thành một thứ gì đó hoàn toàn khác.

Rõ ràng là ransomware LockBit có rủi ro cao, như trường hợp của nhiều chương trình ransomware. Vì vậy, làm thế nào bạn có thể giữ cho mình an toàn?

Cách bảo vệ bản thân khỏi phần mềm ransomware LockBit

Do ransomware LockBit trước tiên phải có mặt trên thiết bị của bạn để mã hóa file, nên bạn cần ngăn chặn hoàn toàn sự lây nhiễm ngay từ đầu. Mặc dù rất khó để đảm bảo khả năng bảo vệ khỏi ransomware, nhưng bạn có thể làm rất nhiều điều.

Thứ nhất, đừng bao giờ tải xuống bất kỳ file hoặc chương trình phần mềm nào từ các trang web không hoàn toàn hợp pháp. Tải xuống bất kỳ loại file nào chưa được xác minh vào thiết bị của mình có thể giúp kẻ tấn công ransomware dễ dàng truy cập vào file của bạn. Đảm bảo rằng bạn chỉ đang sử dụng các trang web đáng tin cậy và được đánh giá tốt để tải xuống hoặc những cửa hàng ứng dụng chính thức để cài đặt phần mềm.

Một yếu tố khác cần lưu ý là ransomware LockBit thường lây lan qua Remote Desktop Protocol (RDP). Nếu không sử dụng công nghệ này, bạn không cần phải quá lo lắng. Tuy nhiên, nếu bạn làm vậy, điều quan trọng là bạn phải bảo mật mạng RDP của mình bằng cách sử dụng bảo vệ bằng mật khẩu, VPN và hủy kích hoạt giao thức khi nó không được sử dụng trực tiếp. Những kẻ khai thác ransomware thường quét Internet để tìm các kết nối RDP dễ bị tấn công, vì vậy việc bổ sung thêm các lớp bảo vệ sẽ làm cho mạng RDP của bạn ít bị tấn công hơn.

Ransomware cũng có thể lây lan qua phishing, một phương thức lây nhiễm và đánh cắp dữ liệu cực kỳ phổ biến được sử dụng bởi các phần tử độc hại. Phishing thường được triển khai phổ biến nhất qua email, trong đó kẻ tấn công sẽ đính kèm một liên kết độc hại vào nội dung email mà chúng sẽ thuyết phục nạn nhân nhấp vào. Liên kết này sẽ dẫn đến một trang web độc hại có thể tạo điều kiện cho việc lây nhiễm phần mềm độc hại.

Việc tránh phishing có thể được thực hiện theo một số cách, bao gồm sử dụng các tính năng chống thư rác, trang web kiểm tra liên kết và phần mềm diệt virus. Bạn cũng nên xác minh địa chỉ người gửi của bất kỳ email mới nào và quét lỗi chính tả trong email (vì email lừa đảo thường có nhiều lỗi chính tả và ngữ pháp).

LockBit tiếp tục trở thành mối đe dọa toàn cầu

LockBit tiếp tục phát triển và nhắm mục tiêu ngày càng nhiều nạn nhân: Ransomware này sẽ không sớm xuất hiện. Để giữ an toàn cho bạn khỏi LockBit và ransomware nói chung, hãy xem xét một số mẹo ở trên. Mặc dù bạn có thể nghĩ rằng mình sẽ không bao giờ trở thành mục tiêu, nhưng dù sao thì bạn cũng nên thực hiện các biện pháp phòng ngừa cần thiết.