„LockBit 2.0“ išpirkos programa yra aktyvi ir ieško filialų

Šiais laikais išpirkos reikalaujančių programų gaujų operacijos dažnai būna trumpalaikės, ypač jei jos baigiasi „įspūdingu auksu“, kaip ir „ REvil Ransomware“ gauja, kuri buvo uždaryta po įsilaužimo į „Colonial Pipeline“ . Tačiau yra keletas išpirkos turinčių programų šeimų, kurios gyvuoja daugiau nei metus, ir jos vis dar aktyviai ieško dukterinių įmonių. Tai yra „LockBit Ransomware“ atvejis, kurio 2.0 versija buvo išleista visai neseniai. „LockBit 2.0 Ransomware“ turi patobulintą failų šifravimo algoritmą, o jo kūrėjai ieško partnerių per „LockBit“ duomenų nutekėjimo svetainę. Kenkėjiškų programų kūrėjai samdo kitus grėsmės veikėjus, kad pakenktų tinklui ir sistemoms, tačiau jie moka 20–30% išpirkos mokesčio.

Šios kampanijos yra labai naudingos kenkėjiškų programų autoriams, nes jie tiesiog pateikia implantą ir valdymo skydą - visa kita turi padaryti jų dukterinės įmonės. Būtent tai ir kelia tokias grėsmes kaip „LockBit 2.0 Ransomware“ - jų pasiekiamumas yra didžiulis, ir jos gali būti platinamos internete naudojant įvairiausius metodus ir gudrybes.

Didelė failų saugyklų dalis skirta užkrėstoje mašinoje esančių failų šifravimui ir išpirkos pranešimo atsisakymui. Tačiau tokie nepatenkinti didelių grėsmių veikėjai, kaip tas, kuris naudoja „LockBit 2.0 Ransomware“. Štai kodėl šis failų šifravimo Trojanas iš anksto yra įkeltas su specialiais scenarijais, kuriais siekiama manipuliuoti „Windows“ grupės politikos konfigūracija. Sugadindama šiuos nustatymus, išpirkos programa bando sušvelninti „Microsoft“ nustatytas saugumo priemones ir leisti užkrėsti kitus to paties tinklo įrenginius. Žinoma, visas procesas yra daug sudėtingesnis, tačiau galutinis rezultatas visada yra tas pats - prieiga prie failų keliuose užkrėstojo tinklo įrenginiuose.

Kaip ir kitos šiuolaikinės išpirkos programos, „LockBit 2.0 Ransomware“ taip pat pavagia failus prieš užšifruodami jų turinį. Tokiu būdu nusikaltėliai turi du būdus aukai išvilioti - jie grasina ištrinti savo iššifravimo raktą, taip pat grasina failus paskelbti internete.

Vienas iš savitų „LockBit 2.0 Ransomware“ bruožų yra tai, kad jis bando įdomiai pristatyti išpirkos raštą. Be įprasto dokumento numetimo, jis taip pat bando pasiekti visus tinkle esančius spausdintuvus ir išspausdinti išpirkos pranešimą ant popieriaus. Anksčiau tą pačią taktiką naudojo „Egregor Ransomware“.

„LockBit 2.0“ išpirkos programa, be jokios abejonės, gyva ir sveika. Nors jo operatoriai daugelį mėnesių tylėjo, jų projektas tikrai nėra miręs. Asmenys ir įmonės gali apsaugoti savo tinklus vykdydami griežtą saugumo politiką, naudodami patikimą antivirusinę programinę įrangą ir užtikrindami, kad kompiuterių operatoriai žinotų, kaip atokiau nuo įtartinų svetainių.