LockBit 2.0 Ransomware er aktivt og leter etter tilknyttede selskaper
I dag er driften av ransomware-gjenger ofte kortvarig, spesielt hvis de ender med å "slå gull" - akkurat som REvil Ransomware-gjengen stengt etter Colonial Pipeline-hacket . Imidlertid er det noen ransomware-familier som har eksistert i over et år, og de leter fortsatt aktivt etter tilknyttede selskaper. Dette er tilfellet med LockBit Ransomware, hvis 2.0-versjon ble utgitt nylig. LockBit 2.0 Ransomware har en forbedret filkrypteringsalgoritme, og skaperne leter etter tilknyttede selskaper gjennom LockBits datalekkaside. Malwareutviklerne ansetter andre trusselaktører for å kompromittere nettverk og systemer, men de tar et gebyr på 20-30% av løsepenger.
Disse kampanjene er ekstremt lønnsomme for forfattere av skadelig programvare, siden de ganske enkelt gir et implantat og et kontrollpanel - det er opp til deres tilknyttede selskaper å gjøre resten. Dette er akkurat det som gjør trusler som LockBit 2.0 Ransomware så farlige - rekkevidden deres er enorm, og de kan spres online via alle slags metoder og triks.
En stor del av fil-lockers fokuserer på å kryptere filene på den infiserte maskinen, og slippe løsemeldingen. Imidlertid vil høyprofilerte trusselsaktører som den som bruker LockBit 2.0 Ransomware ikke bli fornøyd med dette. Dette er grunnen til at denne filkrypteringstrojanen er forhåndslastet med spesielle skript som tar sikte på å manipulere konfigurasjonen av Windows-gruppepolicyer. Ved å tukle med disse innstillingene prøver ransomware å myke opp sikkerhetstiltakene fra Microsoft, og gjøre det mulig å infisere andre enheter i samme nettverk. Selvfølgelig er hele prosessen mye mer komplisert, men sluttresultatet er alltid det samme - tilgang til filer på flere enheter i det infiserte nettverket.
Akkurat som andre moderne ransomware stjeler LockBit 2.0 Ransomware også filer før de krypterer innholdet. På denne måten har kriminelle to måter å presse offeret på - de truer med å slette dekrypteringsnøkkelen, og de truer også med å publisere filene på nettet.
En særegen egenskap ved LockBit 2.0 Ransomware er at den prøver å levere løsepenger på en interessant måte. Bortsett fra å slippe det vanlige dokumentet, prøver den også å få tilgang til alle skrivere som er tilgjengelige i nettverket, og deretter skrive løsemeldingen ut på papir. Tidligere ble den samme taktikken brukt av Egregor Ransomware.
LockBit 2.0 Ransomware er uten tvil levende og godt. Selv om operatørene hadde blitt stille i mange måneder, er prosjektet deres absolutt langt fra dødt. Enkeltpersoner og bedrifter kan beskytte nettverkene sine ved å håndheve sterke sikkerhetspolicyer, ved å bruke pålitelig antivirusprogramvare, og sikre at dataoperatører vet hvordan de skal holde seg borte fra mistenkelige nettsteder.
