LockBit-ransomware — Wat je moet weten

Definitie van LockBit

LockBit- is schadelijke software die is ontworpen om de toegang van gebruikers tot computersystemen te blokkeren totdat losgeld wordt betaald. LockBit identificeert automatisch waardevolle doelwitten, verspreidt de infectie en versleutelt alle toegankelijke computersystemen op een netwerk. Deze ransomware wordt gebruikt voor zeer doelgerichte aanvallen op ondernemingen en andere organisaties. De automatische LockBit-cyberaanvallen hebben een reputatie opgebouwd door organisaties over de hele wereld op de volgende manieren te bedreigen:

• Verstoring van de bedrijfsactiviteiten doordat essentiële functies tot stilstand komen.
• Afpersing voor het financiële gewin van de hacker.
• Gegevensdiefstal en onwettige openbaarmaking om slachtoffers die niet meewerken te chanteren.

Wat is LockBit-ransomware?

LockBit is een nieuwe ransomwareaanval in een lange reeks afpersingsaanvallen. Het stond voorheen bekend als 'ABCD'-ransomware maar heeft zich sindsdien ontwikkeld tot een unieke dreiging op het gebied van deze afpersingstools. LockBit is een subklasse van ransomware die 'cryptovirussen' worden genoemd, omdat de verzoeken om losgeld zijn gebaseerd op betaling in ruil voor decryptie. In plaats van personen zijn ondernemingen en overheidsinstanties de voornaamste doelwitten.

De eerste aanvallen met LockBit vonden plaats in september 2019, toen het nog het '.abcd-virus' werd genoemd. De bijnaam verwijst naar de bestandsextensie die werd gebruikt bij het versleutelen van de bestanden van slachtoffers. Organisaties in de Verenigde Staten, China, India, Indonesië en Oekraïne waren de belangrijkste doelwitten. Ook zijn er aanvallen waargenomen in diverse Europese landen (Frankrijk, het Verenigd Koninkrijk en Duitsland).

Aantrekkelijke doelwitten zijn organisaties die voldoende hinder van de verstoring vinden om een groot bedrag te betalen — en over voldoende geld daarvoor beschikken. Als zodanig kan dit leiden tot een veelvoud aan aanvallen tegen grote ondernemingen, van zorgorganisaties tot financiële instellingen. Met het geautomatiseerde selectieproces worden schijnbaar doelbewust systemen in Rusland of andere landen in het Gemenebest van Onafhankelijke Staten vermeden. Vermoedelijk is dit om vervolging in deze gebieden te voorkomen.

LockBit fungeert als ransomware-as-a-service (RaaS). Geïnteresseerde partijen doen een aanbetaling voor het gebruik van aangepaste aanvallen in opdracht en profiteren van de baten binnen een framework van geaffilieerden. Losgeldbetalingen worden verdeeld tussen het team van LockBit-ontwikkelaars en de geaffilieerden voor de aanvallen die worden uitgevoerd – deze ontvangen tot ¾ van de losgeldbetalingen.

Hoe werkt LockBit-ransomware?

LockBit-ransomware wordt door veel autoriteiten gezien als onderdeel van de malwarefamilie 'LockerGoga & MegaCortex'. Dit betekent dat het zich op dezelfde manier gedraagt als deze bekende vormen van doelgerichte ransomware. Kort gezegd, hebben deze aanvallen de volgende kenmerken:

• Ze verspreiden zichzelf binnen een organisatie en vereisen geen handmatige acties.
• Ze zijn doelgericht in plaats van dat ze zich lukraak verspreiden, zoals spammalware.
• Ze gebruiken vergelijkbare tools om zich te verspreiden, zoals Windows Powershell en Server Message Block (SMB).

Het belangrijkste is dat deze aanvallen zichzelf kunnen verspreiden. LockBit is geprogrammeerd om vooraf gedefinieerde automatische processen te gebruiken. Daardoor verschilt het van andere ransomwareaanvallen die handmatig in een netwerk worden beheerd — soms wekenlang — om de situatie te verkennen en toezicht te houden.

Nadat de aanvaller één host handmatig heeft geïnfecteerd, kan deze andere toegankelijke hosts vinden om deze te koppelen aan de geïnfecteerde host en de infectie te verspreiden met een script. Dit wordt volledig zonder menselijke tussenkomst gedaan en herhaald.

Bovendien worden tools gebruikt in patronen die in bijna alle Windows-computersystemen beschikbaar zijn. Endpointbeveiligingssystemen hebben moeite om schadelijke activiteit vast te stellen. Ook wordt het uitvoerbare bestand voor de encryptie verborgen door zich voor te doen als een veelvoorkomend PNG-afbeeldingsbestand, zodat de systeembeveiliging wordt omzeild.

Fasen van LockBit-aanvallen

LockBit-aanvallen bestaan grofweg uit drie fasen:

1. Uitbuiten
2. Infiltreren
3. Implementeren

Fase 1: Zwaktes in een netwerk uitbuiten. De initiële beveiligingsinbreuk komt grotendeels overeen met andere aanvallen. Er kan toegang tot een organisatie worden verkregen met social engineering zoals phishing, waarbij aanvallers zich voordoen als betrouwbare medewerkers of autoriteiten om toegangsreferenties aan te vragen. Er kunnen ook bruteforceaanvallen op de intranetservers en netwerksystemen van een organisatie worden gebruikt. Zonder de juiste netwerkconfiguratie nemen aanvalsacties vaak maar een paar dagen in beslag.

Zodra LockBit toegang tot een netwerk heeft verkregen, bereidt de ransomware het systeem voor om de encryptiemalware te verspreiden naar elk mogelijk apparaat. Soms moet een aanvaller echter nog een paar stappen uitvoeren alvorens door te gaan met de laatste actie.

Fase 2: Zo nodig dieper infiltreren om de aanvalsopzet te voltooien. Vanaf dit punt voert het LockBit-programma alle activiteiten onafhankelijk uit. Het is geprogrammeerd om zogenaamde 'post-exploitation'-tools te gebruiken, waarmee verhoogde bevoegdheden worden verkregen ter voorbereiding van de aanval. Het controleert ook via laterale bewegingen welk toegangsniveau al beschikbaar is, om de geschiktheid van het doelwit te bepalen.

In deze fase voert LockBit voorbereidende acties uit alvorens de encryptietool van de ransomware te implementeren. Hiertoe behoren het uitschakelen van beveiligingsprogramma's en andere infrastructuur waarmee het systeem mogelijk kan worden hersteld.

De infiltratie is bedoeld om automatisch herstel onmogelijk te maken of in ieder geval zodanig te vertragen dat het betalen van losgeld de enige praktische oplossing is. Als het slachtoffer wanhopig is om de bedrijfsactiviteiten weer te herstellen, zal deze bereid zijn om het losgeld te betalen.

Fase 3: De payload voor encryptie implementeren. Wanneer het netwerk is voorbereid om LockBit volledig te mobiliseren, begint de ransomware zich te verspreiden over elk systeem dat toegankelijk is. Zoals eerder gezegd, heeft LockBit weinig nodig om deze fase te voltooien. Eén systeem met een hoog toegangsniveau kan opdrachten naar andere netwerksystemen verzenden om LockBit te downloaden en uit te voeren.

Het encryptieonderdeel zal alle systeembestanden 'vergrendelen'. Slachtoffers kunnen hun systemen alleen ontgrendelen met een speciale sleutel die wordt gemaakt door de eigen decryptietool van LockBit. Bij dit proces worden ook kopieën van een eenvoudig tekstbestand met losgeldeisen achtergelaten in elke systeemmap. Dit bevat instructies om het systeem te herstellen en in bepaalde LockBit-versies tevens dreigingen met chantage.

Wanneer al deze fasen zijn voltooid, moeten de volgende stappen worden uitgevoerd door het slachtoffer. Mogelijk besluit deze om contact met de ondersteuningsdesk van LockBit op te nemen en losgeld te betalen. Het wordt evenwel afgeraden om in te gaan op de eisen. Er is geen garantie dat de aanvallers hun toezeggingen nakomen.

Soorten LockBit-dreigingen

LockBit is de nieuwste ransomwareaanval en kan daardoor een grote bron van zorgen zijn. We kunnen niet uitsluiten dat het zich over veel branches en organisaties verspreid, ook door de recente toename van werken op afstand. Kennis van de LockBit-varianten kan nuttig zijn om te bepalen waarmee je te maken hebt.

Variant 1 —. abcd-extensie

De oorspronkelijke versie van LockBit wijzigt de extensie van bestandsnamen in '.abcd'. Bovendien plaatst het in elke map een bestand 'Restore-My-Files.txt' met losgeldeisen en zogenaamde instructies voor het herstellen van bestanden.

Variant 2 —. LockBit-extensie

De tweede bekende versie van deze ransomware gebruikt de bestandsextensie '.LockBit', wat de huidige naam verklaart. Slachtoffers hebben echter vastgesteld dat de andere kenmerken van deze versie vrijwel identiek zijn, ondanks enige back-endrevisies.

Variant 3 —. LockBit-versie 2

Bij de volgende onderscheidbare versie van LockBit hoeft de Tor-browser niet meer te worden gedownload volgens de losgeldinstructies. In plaats daarvan worden slachtoffers doorgestuurd naar een alternatieve website met traditionele internettoegang.

Doorlopende updates en revisies voor LockBit

Onlangs zijn aanvullende schadelijke functies toegevoegd aan LockBit zoals het omzeilen van controlepunten voor beheerdersrechten. LockBit schakelt nu de beveiligingsprompts uit die gebruikers mogelijk zien bij een poging om een applicatie uit te voeren als beheerder.

De malware is nu ook ingesteld om kopieën van serverdata te stelen en er zijn dreigingen van chantage toegevoegd aan het bestand met losgeldeisen. Als het slachtoffer de instructies niet opvolgt, dreigt LockBit nu om de privacygegevens van het slachtoffer openbaar te maken.

LockBit verwijderen en ontsleutelen

Als je organisatie al is geïnfecteerd, is het verwijderen van de LockBit-ransomware niet genoeg om weer toegang tot je bestanden te krijgen. Je hebt een tool nodig om je systeem te herstellen, omdat er een 'sleutel' vereist is voor het verwijderen van de encryptie. Eventueel kun je je systemen ook herstellen door deze te re-imagen als je beschikt over back-upimages die vóór de infectie zijn gemaakt.

Bescherming tegen LockBit-ransomware

Tot slot moet je beveiligingsmaatregelen instellen om te zorgen dat je organisatie vanaf het begin bestand is tegen ransomware of schadelijke aanvallen. Hier zijn een paar goede gewoontes om mee te beginnen:

1. Er moeten sterke wachtwoorden worden geïmplementeerd. Vaak wordt onrechtmatig toegang tot een account verkregen omdat wachtwoorden eenvoudig te raden zijn of zo simpel zijn dat ze binnen enkele dagen kunnen worden gekraakt met een algoritmetool. Kies veilige wachtwoorden, bijvoorbeeld langere wachtwoorden met variaties van tekens of passphrases die zijn gebaseerd op zelfgemaakte regels.
2. Activeer meervoudige authenticatie. Voorkom bruteforceaanvallen door lagen toe te voegen boven de initiële wachtwoordgebaseerde aanmeldingen. Gebruik hulpmiddelen zoals biometrische gegevens of fysieke USB-authenticators zo mogelijk op alle systemen.
3. Herevalueer gebruikersmachtigingen en vereenvoudig deze. Beperk machtigingen tot strikte niveaus om te voorkomen dat potentiële dreigingen onbelemmerd kunnen toeslaan. Besteed met name aandacht aan machtigingen van endpointgebruikers en IT-accounts met machtigingen op beheerdersniveau. Webdomeinen, samenwerkingsplatformen, webvergaderservices en ondernemingsdatabases moeten allemaal worden beveiligd.
4. Schoon verouderde en ongebruikte gebruikersaccounts op. Sommige oudere systemen kunnen beschikken over accounts van voormalige werknemers, die nooit zijn gedeactiveerd en gesloten. Bij een controle van je systemen moeten deze potentiële zwakke punten worden aangepakt.
5. Zorg dat systeemconfiguraties voldoen aan alle beveiligingsprocedures. Het kan tijd kosten, maar bij een controle van bestaande installaties kunnen nieuwe problemen en verouderde beleidsregels aan het licht komen, die je organisatie kwetsbaar maken voor aanvallen. Standaardwerkprocedures moeten regelmatig opnieuw worden geëvalueerd om ze aan te passen aan nieuwe cyberdreigingen.
6. Zorg dat je altijd back-ups voor het hele systeem en schone lokale systeemimages hebt klaarliggen. Incidenten zijn onvermijdelijk en de enige echte bescherming tegen permanent gegevensverlies is een offline kopie. Je organisatie moet regelmatig back-ups maken om bij te blijven met belangrijke wijzigingen aan je systemen. Voor het geval dat een back-up wordt aangetast door een malware-infectie kun je meerdere roterende back-uppunten overwegen, zodat je altijd een schone back-up hebt.

Gerelateerde artikelen:

• Manieren waarop hackers je online privacy kunnen schenden
• Wat is een beveiligingsinbreuk?
• Beveiligingsdreigingen van het Internet of Things
• Wat is gegevensprivacy?
• Phishing - Een overzicht