/ / LockBit 3.0 Ransomware là gì và bạn có thể làm gì với nó?

LockBit 3.0 Ransomware là gì và bạn có thể làm gì với nó?

Trộm cắp, tống tiền, tống tiền và mạo danh tràn lan trên mạng, với hàng nghìn người trở thành nạn nhân của các vụ lừa đảo và tấn công khác nhau mỗi tháng. Một trong những phương thức tấn công như vậy sử dụng một loại ransomware được gọi là LockBit 3.0. Vậy, ransomware này đến từ đâu, nó được sử dụng như thế nào và bạn có thể làm gì để bảo vệ mình?


LockBit 3.0 đến từ đâu?

LockBit 3.0 (còn được gọi là LockBit Black) là một dòng ransomware sinh ra từ họ LockBit ransomware. Đây là một nhóm các chương trình ransomware lần đầu tiên được phát hiện vào tháng 9 năm 2019, sau khi làn sóng tấn công đầu tiên diễn ra. Ban đầu, LockBit được gọi là “virus .abcd”, nhưng tại thời điểm đó, người ta không biết rằng những người tạo ra LockBit và người dùng sẽ tiếp tục tạo ra các phiên bản mới của chương trình ransomware ban đầu.

Dòng chương trình ransomware của LockBit tự phát tán, nhưng chỉ một số nạn nhân nhất định mới được nhắm mục tiêu — chủ yếu là những người có khả năng trả một khoản tiền chuộc lớn. Những kẻ sử dụng ransomware LockBit thường mua quyền truy cập Giao thức Máy tính Từ xa (RDP) trên dark web để chúng có thể truy cập thiết bị của nạn nhân từ xa và dễ dàng hơn.

Các nhà điều hành của LockBit đã nhắm mục tiêu đến các tổ chức trên khắp thế giới kể từ lần sử dụng đầu tiên, bao gồm Anh, Mỹ, Ukraine và Pháp. Dòng chương trình độc hại này sử dụng mô hình Ransomware-as-a-Service (RaaS), trong đó người dùng có thể trả tiền cho các nhà khai thác để có quyền truy cập vào một loại ransomware nhất định. Điều này thường liên quan đến một số hình thức đăng ký. Đôi khi, người dùng thậm chí có thể kiểm tra số liệu thống kê để xem liệu việc sử dụng LockBit ransomware có thành công hay không.

Mãi đến năm 2021, LockBit mới trở thành một loại ransomware phổ biến, thông qua LockBit 2.0 (tiền thân của chủng loại hiện tại). Tại thời điểm này, các băng nhóm sử dụng ransomware này đã quyết định áp dụng mô hình tống tiền kép. Điều này liên quan đến cả mã hóa và tách lọc (hoặc chuyển) các tệp của nạn nhân sang một thiết bị khác. Phương pháp tấn công bổ sung này làm cho toàn bộ tình huống trở nên đáng sợ hơn đối với cá nhân hoặc tổ chức được nhắm mục tiêu.


Loại ransomware LockBit gần đây nhất đã được xác định là LockBit 3.0. Vì vậy, LockBit 3.0 hoạt động như thế nào và nó được sử dụng như thế nào ngày nay?

LockBit 3.0 là gì?

Vào cuối mùa xuân năm 2022, một phiên bản mới của nhóm ransomware LockBit đã được phát hiện: LockBit 3.0. Là một chương trình ransomware, LockBit 3.0 có thể mã hóa và tách lọc tất cả các tệp trên thiết bị bị nhiễm, cho phép kẻ tấn công giữ dữ liệu của nạn nhân làm con tin cho đến khi trả tiền chuộc được yêu cầu. Phần mềm ransomware này hiện đang hoạt động rầm rộ và đang gây ra rất nhiều lo ngại.

Quá trình của một cuộc tấn công LockBit 3.0 điển hình là:

  1. LockBit 3.0 lây nhiễm vào thiết bị của nạn nhân, mã hóa tệp và gắn phần mở rộng của tệp được mã hóa là “HLjkNskOq”.
  2. Khi đó, cần có khóa đối số dòng lệnh được gọi là “-pass” để thực hiện mã hóa.
  3. LockBit 3.0 tạo ra nhiều luồng khác nhau để thực hiện nhiều tác vụ đồng thời để việc mã hóa dữ liệu có thể được hoàn thành trong thời gian ngắn hơn.
  4. LockBit 3.0 xóa một số dịch vụ hoặc tính năng nhất định để làm cho quá trình mã hóa và lọc dễ dàng hơn nhiều.
  5. Một API được sử dụng để chứa quyền truy cập cơ sở dữ liệu của trình quản lý kiểm soát dịch vụ.
  6. Hình nền máy tính của nạn nhân được thay đổi để họ biết mình đang bị tấn công.

Nếu nạn nhân không trả tiền chuộc trong khoảng thời gian cần thiết, những kẻ tấn công LockBit 3.0 sẽ bán dữ liệu chúng đã đánh cắp trên dark web cho các tội phạm mạng khác. Điều này có thể là thảm họa cho cả nạn nhân và tổ chức.

Tại thời điểm viết bài, LockBit 3.0 là đáng chú ý nhất trong việc khai thác Windows Defender để triển khai Cobalt Strike, một công cụ kiểm tra thâm nhập có thể giảm tải trọng. Phần mềm này cũng có thể gây ra một chuỗi lây nhiễm phần mềm độc hại trên nhiều thiết bị.

Trong quá trình này, công cụ dòng lệnh MpCmdRun.exe được khai thác để kẻ tấn công có thể giải mã và khởi chạy các cảnh báo. Điều này được thực hiện bằng cách đánh lừa hệ thống ưu tiên và tải một DLL độc hại (Thư viện liên kết động).

Tệp thực thi MpCmdRun.exe được Windows Defender sử dụng để quét phần mềm độc hại, do đó bảo vệ thiết bị khỏi các tệp và chương trình có hại. Cho rằng Cobalt Strike có thể vượt qua các biện pháp bảo mật của Windows Defender, nó đã trở nên rất hữu ích đối với những kẻ tấn công ransomware.

Kỹ thuật này còn được gọi là tải bên và cho phép các bên độc hại chứa hoặc lấy cắp dữ liệu từ các thiết bị bị nhiễm.

Làm thế nào để tránh LockBit 3.0 Ransomware

LockBit 3.0 đang là mối quan tâm ngày càng tăng, đặc biệt là trong số các tổ chức lớn có nhiều dữ liệu có thể được mã hóa và lọc. điều quan trọng là phải đảm bảo rằng bạn tránh được kiểu tấn công nguy hiểm này.

Để làm điều này, trước tiên bạn nên đảm bảo rằng bạn đang sử dụng mật khẩu siêu mạnh và xác thực hai yếu tố trên tất cả các tài khoản của mình. Lớp bảo mật bổ sung này có thể khiến tội phạm mạng khó tấn công bạn hơn bằng ransomware. Ví dụ: hãy xem xét các cuộc tấn công ransomware Remote Desktop Protocol. Trong trường hợp như vậy, kẻ tấn công sẽ quét internet để tìm các kết nối RDP dễ bị tấn công. Vì vậy, nếu kết nối của bạn được bảo vệ bằng mật khẩu và sử dụng 2FA, bạn sẽ ít bị nhắm mục tiêu hơn nhiều.


Ngoài ra, bạn phải luôn cập nhật hệ điều hành và chương trình chống vi-rút trên thiết bị của mình. Cập nhật phần mềm có thể tốn thời gian và gây khó chịu, nhưng có lý do để chúng tồn tại. Các bản cập nhật như vậy thường đi kèm với các bản sửa lỗi và các tính năng bảo mật bổ sung để giữ cho thiết bị và dữ liệu của bạn được bảo vệ, vì vậy đừng bỏ qua cơ hội cập nhật thiết bị của bạn.

Một biện pháp quan trọng khác cần thực hiện để tránh các cuộc tấn công ransomware, nhưng hậu quả của chúng, là sao lưu các tệp. Đôi khi, những kẻ tấn công ransomware sẽ giữ lại thông tin quan trọng mà bạn cần vì nhiều lý do khác nhau, vì vậy việc có một bản sao lưu sẽ giảm thiểu mức độ thiệt hại ở một mức độ nào đó. Các bản sao ngoại tuyến, chẳng hạn như các bản sao được lưu trữ trên thẻ USB, có thể vô giá khi dữ liệu bị đánh cắp hoặc bị xóa khỏi thiết bị của bạn.

Các biện pháp sau nhiễm trùng

Mặc dù các đề xuất trên có thể bảo vệ bạn khỏi phần mềm tống tiền LockBit, nhưng vẫn có khả năng lây nhiễm. Vì vậy, nếu bạn phát hiện máy tính của mình đã bị nhiễm virus LockBit 3.0, điều quan trọng là bạn không nên hành động một cách phi lý trí. Có các bước bạn có thể thực hiện để xóa ransomware khỏi thiết bị của mình mà bạn nên làm theo chặt chẽ và cẩn thận.


Bạn cũng nên thông báo cho nhà chức trách nếu bạn là nạn nhân của một cuộc tấn công bằng ransomware. Điều này giúp các bên liên quan hiểu rõ hơn và giải quyết một số loại ransomware nhất định.

Các cuộc tấn công LockBit 3.0 có thể tiếp tục

Không ai biết bao nhiêu lần nữa LockBit 3.0 ransomware sẽ được sử dụng để đe dọa và khai thác nạn nhân. Đây là lý do tại sao điều quan trọng là phải bảo vệ thiết bị và tài khoản của bạn theo mọi cách có thể để dữ liệu nhạy cảm của bạn luôn an toàn.

Bài viết liên quan:

  1. Bạn có một chiếc iPhone mới? Yêu cầu bộ nhớ iCloud tạm thời miễn phí của bạn để sao lưu
  2. Bây giờ bạn có thể sử dụng Microsoft Bing để mua giày thuần chay
  3. Cách dùng Chai Nhựa để bẫy chim
  4. 7 loại ống kính máy ảnh mà mọi nhiếp ảnh gia cần

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *