تنتشر السرقة والابتزاز وانتحال الهوية عبر الإنترنت ، حيث يقع الآلاف من الأشخاص ضحايا لعمليات الاحتيال والهجمات المختلفة كل شهر. يستخدم أحد هذه الأوضاع للهجوم نوعًا من برامج الفدية المعروفة باسم LockBit 3.0. إذن ، من أين أتت هذه الفدية ، وكيف يتم استخدامها ، وماذا يمكنك أن تفعل لحماية نفسك؟
من أين أتى LockBit 3.0؟
LockBit 3.0 (المعروف أيضًا باسم LockBit Black) هو سلالة من برامج الفدية التي تحملها عائلة LockBit ransomware. هذه مجموعة من برامج الفدية تم اكتشافها لأول مرة في سبتمبر 2019 ، بعد حدوث الموجة الأولى من الهجمات. في البداية ، تمت الإشارة إلى LockBit باسم ".abcd virus" ، ولكن في تلك المرحلة ، لم يكن معروفًا أن سيستمر منشئو ومستخدمي LockBit في إنشاء تكرارات جديدة لبرنامج الفدية الأصلي برنامج.
عائلة LockBit من برامج الفدية تنتشر ذاتيًا ، ولكن بعض الضحايا فقط هم المستهدفون - خاصة أولئك الذين لديهم القدرة على دفع فدية كبيرة. غالبًا ما يشتري أولئك الذين يستخدمون LockBit ransomware الوصول إلى بروتوكول سطح المكتب البعيد (RDP) على الويب المظلم حتى يتمكنوا من الوصول إلى أجهزة الضحايا عن بُعد وبسهولة أكبر.
استهدف مشغلو LockBit المنظمات في جميع أنحاء العالم منذ استخدامه لأول مرة ، بما في ذلك المملكة المتحدة والولايات المتحدة وأوكرانيا وفرنسا. تستخدم عائلة البرامج الضارة هذه الامتداد برامج الفدية كخدمة (RaaS) النموذج ، حيث يمكن للمستخدمين الدفع للمشغلين للوصول إلى نوع معين من برامج الفدية. هذا غالبا ما ينطوي على شكل من أشكال الاشتراك. في بعض الأحيان ، يمكن للمستخدمين التحقق من الإحصائيات لمعرفة ما إذا كان استخدامهم لبرنامج LockBit ransomware ناجحًا.
لم يكن حتى عام 2021 أن أصبح LockBit نوعًا سائدًا من برامج الفدية ، من خلال LockBit 2.0 (سلف السلالة الحالية). في هذه المرحلة ، قررت العصابات التي استخدمت برنامج الفدية هذا اعتماد نموذج الابتزاز المزدوج. يتضمن ذلك كلاً من تشفير وسحب (أو نقل) ملفات الضحية إلى جهاز آخر. طريقة الهجوم الإضافية هذه تجعل الموقف بأكمله أكثر ترويعًا للفرد أو المنظمة المستهدفة.
تم التعرف على أحدث نوع من برامج الفدية LockBit باسم LockBit 3.0. إذن ، كيف يعمل LockBit 3.0 ، وكيف يتم استخدامه اليوم؟
ما هو LockBit 3.0؟
في أواخر ربيع عام 2022 ، تم اكتشاف نسخة جديدة من مجموعة LockBit ransomware: LockBit 3.0. كبرنامج رانسوم وير ، يمكن لـ LockBit 3.0 تشفير ملفات وتسلل جميع الملفات الموجودة على جهاز مصاب ، مما يسمح للمهاجم باحتجاز بيانات الضحية كرهينة على ما يبدو حتى يتم الحصول على الفدية المطلوبة دفع. هذه الفدية نشطة الآن في البرية ، وتسبب الكثير من القلق.
عملية هجوم LockBit 3.0 النموذجية هي:
- يصيب LockBit 3.0 جهاز الضحية ويقوم بتشفير الملفات وإلحاق امتداد الملفات المشفرة كـ “HLjkNskOq”.
- مطلوب بعد ذلك مفتاح وسيطة لسطر الأوامر يُعرف باسم "-pass" لتنفيذ التشفير.
- ينشئ LockBit 3.0 سلاسل رسائل متنوعة لأداء مهام متعددة في وقت واحد بحيث يمكن إكمال تشفير البيانات في وقت أقل.
- يحذف LockBit 3.0 خدمات أو ميزات معينة لجعل عملية التشفير والاستخراج أسهل بكثير.
- يتم استخدام API لإيواء الوصول إلى قاعدة بيانات مدير التحكم في الخدمة.
- تم تغيير خلفية سطح المكتب الخاصة بالضحية حتى يعرفوا أنهم يتعرضون للهجوم.
إذا لم يتم دفع الفدية من قبل الضحية في النافذة الزمنية المطلوبة ، فسيقوم مهاجمو LockBit 3.0 ببيع البيانات التي سرقوها على شبكة الإنترنت المظلمة إلى مجرمي الإنترنت الآخرين. يمكن أن يكون هذا كارثيًا لكل من الضحية الفردية والمؤسسة.
في وقت كتابة هذا التقرير ، كان LockBit 3.0 هو الأكثر شهرة لـ استغلال Windows Defender لنشر Cobalt Strike، أداة اختبار الاختراق التي يمكنها إسقاط الحمولات. يمكن أن يتسبب هذا البرنامج أيضًا في سلسلة من الإصابات بالبرامج الضارة عبر أجهزة متعددة.
في هذه العملية ، يتم استغلال أداة سطر الأوامر MpCmdRun.exe حتى يتمكن المهاجم من فك تشفير الإشارات وتشغيلها. يتم ذلك عن طريق خداع النظام لتحديد الأولويات وتحميل ملف DLL ضار (مكتبة الارتباط الديناميكي).
يستخدم Windows Defender الملف القابل للتنفيذ MpCmdRun.exe للبحث عن البرامج الضارة ، وبالتالي حماية الجهاز من الملفات والبرامج الضارة. نظرًا لأن Cobalt Strike يمكنه تجاوز إجراءات أمان Windows Defender ، فقد أصبح مفيدًا جدًا لمهاجمي برامج الفدية.
تُعرف هذه التقنية أيضًا باسم التحميل الجانبي ، وتسمح للأطراف الخبيثة بإيواء أو سرقة البيانات من الأجهزة المصابة.
كيفية تجنب LockBit 3.0 Ransomware
يعد LockBit 3.0 مصدر قلق متزايد ، خاصة بين المؤسسات الكبيرة التي لديها أكوام من البيانات التي يمكن تشفيرها واستخراجها. من المهم التأكد من إبعادك عن هذا النوع الخطير من الهجوم.
للقيام بذلك ، يجب عليك أولاً التأكد من أنك تستخدم كلمات مرور فائقة القوة ومصادقة ثنائية لجميع حساباتك. يمكن أن تجعل طبقة الأمان الإضافية هذه من الصعب جدًا على مجرمي الإنترنت مهاجمتك باستخدام برامج الفدية. انصح هجمات رانسوم وير عن بعد لبروتوكول سطح المكتب، فمثلا. في مثل هذا السيناريو ، سيقوم المهاجم بفحص الإنترنت بحثًا عن اتصالات RDP ضعيفة. لذلك ، إذا كان اتصالك محميًا بكلمة مرور ويستخدم المصادقة الثنائية (2FA) ، فمن غير المرجح أن تكون مستهدفًا.
بالإضافة إلى ذلك ، يجب عليك دائمًا تحديث أنظمة تشغيل أجهزتك وبرامج مكافحة الفيروسات. قد تستغرق تحديثات البرامج وقتًا طويلاً وتكون محبطة ، ولكن هناك سبب لوجودها. غالبًا ما تأتي هذه التحديثات مع إصلاحات للأخطاء وميزات أمان إضافية للحفاظ على حماية أجهزتك وبياناتك ، لذلك لا تفوت فرصة تحديث أجهزتك باستمرار.
إجراء آخر مهم يجب اتخاذه لعدم تجنب هجمات برامج الفدية ، ولكن عواقبها ، هو نسخ الملفات احتياطيًا. في بعض الأحيان ، يحجب مهاجمو برامج الفدية المعلومات المهمة التي تحتاجها لأسباب مختلفة ، لذا فإن وجود نسخة احتياطية يخفف من مدى الضرر إلى حد ما. يمكن أن تكون النسخ في وضع عدم الاتصال ، مثل تلك المخزنة على محرك أقراص USB ، لا تقدر بثمن عند سرقة البيانات أو مسحها من جهازك.
تدابير ما بعد العدوى
في حين أن الاقتراحات المذكورة أعلاه يمكن أن تحميك من LockBit ransomware ، لا تزال هناك فرصة للإصابة. لذلك ، إذا وجدت أن جهاز الكمبيوتر الخاص بك قد أصيب بـ LockBit 3.0 ، فمن المهم ألا تتصرف بطريقة غير عقلانية. هناك خطوات يمكنك القيام بها إزالة برامج الفدية من جهازك، والتي يجب أن تتابعها عن كثب وبعناية.
يجب عليك أيضًا تنبيه السلطات إذا وقعت ضحية لهجوم برامج الفدية. يساعد هذا الأطراف المعنية على فهم سلالة معينة من برامج الفدية ومعالجتها بشكل أفضل.
قد تستمر هجمات LockBit 3.0
لا أحد يعرف عدد مرات استخدام برنامج الفدية LockBit 3.0 لتهديد الضحايا واستغلالهم. هذا هو السبب في أنه من الضروري حماية أجهزتك وحساباتك بكل طريقة ممكنة ، حتى تظل بياناتك الحساسة آمنة.