LockBit 2.0 Ransomware er aktiv og leder efter tilknyttede virksomheder

I dag er operationer af ransomware-bander ofte kortvarige, især hvis de ender med at 'slå guld' - ligesom REvil Ransomware-banden lukkes efter Colonial Pipeline-hacket . Der er dog nogle ransomware-familier, der har eksisteret i over et år, og de leder stadig aktivt efter datterselskaber. Dette er tilfældet med LockBit Ransomware, hvis 2.0-version blev udgivet for nylig. LockBit 2.0 Ransomware har en forbedret filkrypteringsalgoritme, og dens skabere leder efter datterselskaber gennem LockBits datalækningswebsted. Malwareudviklerne ansætter andre trusselsaktører til at kompromittere netværk og systemer, men de tager et gebyr på 20-30% af løsesummen.

Disse kampagner er ekstremt rentable for malwareforfattere, da de simpelthen leverer et implantat og et kontrolpanel - det er op til deres tilknyttede virksomheder at gøre resten. Dette er præcis, hvad der gør trusler som LockBit 2.0 Ransomware så farlige - deres rækkevidde er enorm, og de kan spredes online via alle mulige metoder og tricks.

En stor del af fil-lockers fokuserer på at kryptere filerne på den inficerede maskine og slippe løsesummeddelelsen. Imidlertid vil højt profilerede trusselsaktører som den, der bruger LockBit 2.0 Ransomware, ikke være tilfredse med dette. Dette er grunden til, at denne filkryptering Trojan er forudindlæst med specielle scripts, der sigter mod at manipulere konfigurationen af Windows-gruppepolitikker. Ved at manipulere med disse indstillinger forsøger ransomware at blødgøre de sikkerhedsforanstaltninger, der er pålagt af Microsoft, og gøre det muligt at inficere andre enheder på det samme netværk. Naturligvis er den fulde proces meget mere kompliceret, men slutresultatet er altid det samme - adgang til filer på tværs af flere enheder på det inficerede netværk.

Ligesom anden moderne ransomware stjæler LockBit 2.0 Ransomware også filer inden kryptering af deres indhold. På denne måde har de kriminelle to måder at afpresse offeret på - de truer med at slette deres dekrypteringsnøgle, og de truer også med at offentliggøre filerne online.

Et ejendommeligt træk ved LockBit 2.0 Ransomware er, at det forsøger at levere løsesumnoten på en interessant måde. Bortset fra at droppe det sædvanlige dokument forsøger det også at få adgang til alle tilgængelige printere på netværket og derefter udskrive løsesummeddelelsen på papir. Tidligere blev den samme taktik brugt af Egregor Ransomware.

LockBit 2.0 Ransomware er uden tvivl levende og godt. Selvom dets operatører var stille i mange måneder, er deres projekt bestemt langt fra dødt. Enkeltpersoner og virksomheder kan beskytte deres netværk ved at håndhæve stærke sikkerhedspolitikker ved hjælp af velrenommeret antivirussoftware og sikre, at computeroperatører ved, hvordan man holder sig væk fra mistænkelige websteder.