LockBit-ransomware is schadelijke software die is ontworpen om de toegang van gebruikers tot computersystemen te blokkeren totdat losgeld wordt betaald. LockBit identificeert automatisch waardevolle doelwitten, verspreidt de infectie en versleutelt alle toegankelijke computersystemen op een netwerk. Deze ransomware wordt gebruikt voor zeer doelgerichte aanvallen op ondernemingen en andere organisaties. De automatische LockBit-cyberaanvallen hebben een reputatie opgebouwd door organisaties over de hele wereld op de volgende manieren te bedreigen:
LockBit is een nieuwe ransomwareaanval in een lange reeks afpersingsaanvallen. Het stond voorheen bekend als 'ABCD'-ransomware maar heeft zich sindsdien ontwikkeld tot een unieke dreiging op het gebied van deze afpersingstools. LockBit is een subklasse van ransomware die 'cryptovirussen' worden genoemd, omdat de verzoeken om losgeld zijn gebaseerd op betaling in ruil voor decryptie. In plaats van personen zijn ondernemingen en overheidsinstanties de voornaamste doelwitten.
De eerste aanvallen met LockBit vonden plaats in september 2019, toen het nog het '.abcd-virus' werd genoemd. De bijnaam verwijst naar de bestandsextensie die werd gebruikt bij het versleutelen van de bestanden van slachtoffers. Organisaties in de Verenigde Staten, China, India, Indonesië en Oekraïne waren de belangrijkste doelwitten. Ook zijn er aanvallen waargenomen in diverse Europese landen (Frankrijk, het Verenigd Koninkrijk en Duitsland).
Aantrekkelijke doelwitten zijn organisaties die voldoende hinder van de verstoring vinden om een groot bedrag te betalen — en over voldoende geld daarvoor beschikken. Als zodanig kan dit leiden tot een veelvoud aan aanvallen tegen grote ondernemingen, van zorgorganisaties tot financiële instellingen. Met het geautomatiseerde selectieproces worden schijnbaar doelbewust systemen in Rusland of andere landen in het Gemenebest van Onafhankelijke Staten vermeden. Vermoedelijk is dit om vervolging in deze gebieden te voorkomen.
LockBit fungeert als ransomware-as-a-service (RaaS). Geïnteresseerde partijen doen een aanbetaling voor het gebruik van aangepaste aanvallen in opdracht en profiteren van de baten binnen een framework van geaffilieerden. Losgeldbetalingen worden verdeeld tussen het team van LockBit-ontwikkelaars en de geaffilieerden voor de aanvallen die worden uitgevoerd – deze ontvangen tot ¾ van de losgeldbetalingen.
LockBit-ransomware wordt door veel autoriteiten gezien als onderdeel van de malwarefamilie 'LockerGoga & MegaCortex'. Dit betekent dat het zich op dezelfde manier gedraagt als deze bekende vormen van doelgerichte ransomware. Kort gezegd, hebben deze aanvallen de volgende kenmerken:
Het belangrijkste is dat deze aanvallen zichzelf kunnen verspreiden. LockBit is geprogrammeerd om vooraf gedefinieerde automatische processen te gebruiken. Daardoor verschilt het van andere ransomwareaanvallen die handmatig in een netwerk worden beheerd — soms wekenlang — om de situatie te verkennen en toezicht te houden.
Nadat de aanvaller één host handmatig heeft geïnfecteerd, kan deze andere toegankelijke hosts vinden om deze te koppelen aan de geïnfecteerde host en de infectie te verspreiden met een script. Dit wordt volledig zonder menselijke tussenkomst gedaan en herhaald.
Bovendien worden tools gebruikt in patronen die in bijna alle Windows-computersystemen beschikbaar zijn. Endpointbeveiligingssystemen hebben moeite om schadelijke activiteit vast te stellen. Ook wordt het uitvoerbare bestand voor de encryptie verborgen door zich voor te doen als een veelvoorkomend PNG-afbeeldingsbestand, zodat de systeembeveiliging wordt omzeild.
LockBit-aanvallen bestaan grofweg uit drie fasen:
Fase 1: Zwaktes in een netwerk uitbuiten. De initiële beveiligingsinbreuk komt grotendeels overeen met andere aanvallen. Er kan toegang tot een organisatie worden verkregen met social engineering zoals phishing, waarbij aanvallers zich voordoen als betrouwbare medewerkers of autoriteiten om toegangsreferenties aan te vragen. Er kunnen ook bruteforceaanvallen op de intranetservers en netwerksystemen van een organisatie worden gebruikt. Zonder de juiste netwerkconfiguratie nemen aanvalsacties vaak maar een paar dagen in beslag.
Zodra LockBit toegang tot een netwerk heeft verkregen, bereidt de ransomware het systeem voor om de encryptiemalware te verspreiden naar elk mogelijk apparaat. Soms moet een aanvaller echter nog een paar stappen uitvoeren alvorens door te gaan met de laatste actie.
Fase 2: Zo nodig dieper infiltreren om de aanvalsopzet te voltooien. Vanaf dit punt voert het LockBit-programma alle activiteiten onafhankelijk uit. Het is geprogrammeerd om zogenaamde 'post-exploitation'-tools te gebruiken, waarmee verhoogde bevoegdheden worden verkregen ter voorbereiding van de aanval. Het controleert ook via laterale bewegingen welk toegangsniveau al beschikbaar is, om de geschiktheid van het doelwit te bepalen.
In deze fase voert LockBit voorbereidende acties uit alvorens de encryptietool van de ransomware te implementeren. Hiertoe behoren het uitschakelen van beveiligingsprogramma's en andere infrastructuur waarmee het systeem mogelijk kan worden hersteld.
De infiltratie is bedoeld om automatisch herstel onmogelijk te maken of in ieder geval zodanig te vertragen dat het betalen van losgeld de enige praktische oplossing is. Als het slachtoffer wanhopig is om de bedrijfsactiviteiten weer te herstellen, zal deze bereid zijn om het losgeld te betalen.
Fase 3: De payload voor encryptie implementeren. Wanneer het netwerk is voorbereid om LockBit volledig te mobiliseren, begint de ransomware zich te verspreiden over elk systeem dat toegankelijk is. Zoals eerder gezegd, heeft LockBit weinig nodig om deze fase te voltooien. Eén systeem met een hoog toegangsniveau kan opdrachten naar andere netwerksystemen verzenden om LockBit te downloaden en uit te voeren.
Het encryptieonderdeel zal alle systeembestanden 'vergrendelen'. Slachtoffers kunnen hun systemen alleen ontgrendelen met een speciale sleutel die wordt gemaakt door de eigen decryptietool van LockBit. Bij dit proces worden ook kopieën van een eenvoudig tekstbestand met losgeldeisen achtergelaten in elke systeemmap. Dit bevat instructies om het systeem te herstellen en in bepaalde LockBit-versies tevens dreigingen met chantage.
Wanneer al deze fasen zijn voltooid, moeten de volgende stappen worden uitgevoerd door het slachtoffer. Mogelijk besluit deze om contact met de ondersteuningsdesk van LockBit op te nemen en losgeld te betalen. Het wordt evenwel afgeraden om in te gaan op de eisen. Er is geen garantie dat de aanvallers hun toezeggingen nakomen.
LockBit is de nieuwste ransomwareaanval en kan daardoor een grote bron van zorgen zijn. We kunnen niet uitsluiten dat het zich over veel branches en organisaties verspreid, ook door de recente toename van werken op afstand. Kennis van de LockBit-varianten kan nuttig zijn om te bepalen waarmee je te maken hebt.
De oorspronkelijke versie van LockBit wijzigt de extensie van bestandsnamen in '.abcd'. Bovendien plaatst het in elke map een bestand 'Restore-My-Files.txt' met losgeldeisen en zogenaamde instructies voor het herstellen van bestanden.
De tweede bekende versie van deze ransomware gebruikt de bestandsextensie '.LockBit', wat de huidige naam verklaart. Slachtoffers hebben echter vastgesteld dat de andere kenmerken van deze versie vrijwel identiek zijn, ondanks enige back-endrevisies.
Bij de volgende onderscheidbare versie van LockBit hoeft de Tor-browser niet meer te worden gedownload volgens de losgeldinstructies. In plaats daarvan worden slachtoffers doorgestuurd naar een alternatieve website met traditionele internettoegang.
Onlangs zijn aanvullende schadelijke functies toegevoegd aan LockBit zoals het omzeilen van controlepunten voor beheerdersrechten. LockBit schakelt nu de beveiligingsprompts uit die gebruikers mogelijk zien bij een poging om een applicatie uit te voeren als beheerder.
De malware is nu ook ingesteld om kopieën van serverdata te stelen en er zijn dreigingen van chantage toegevoegd aan het bestand met losgeldeisen. Als het slachtoffer de instructies niet opvolgt, dreigt LockBit nu om de privacygegevens van het slachtoffer openbaar te maken.
Als je organisatie al is geïnfecteerd, is het verwijderen van de LockBit-ransomware niet genoeg om weer toegang tot je bestanden te krijgen. Je hebt een tool nodig om je systeem te herstellen, omdat er een 'sleutel' vereist is voor het verwijderen van de encryptie. Eventueel kun je je systemen ook herstellen door deze te re-imagen als je beschikt over back-upimages die vóór de infectie zijn gemaakt.
Tot slot moet je beveiligingsmaatregelen instellen om te zorgen dat je organisatie vanaf het begin bestand is tegen ransomware of schadelijke aanvallen. Hier zijn een paar goede gewoontes om mee te beginnen:
Gerelateerde artikelen: