Biztonsági kutatók szerint a LockBit ransomware első alkalommal célozhat macOS eszközöket

2023. április 26., 12:27

Úgy tűnik, hogy az egyik leghírhedtebb zsarolóvírus-banda nemrégiben először kezdett el Mac számítógépeket támadni.

A 9to5Mac által kiszúrt tweet-sorozatban a MalwareHunterTeam néven ismert biztonsági kutatók egy csoportja közölte, hogy nemrég bizonyítékot találtak egy Lockbit zsarolóprogram-építésre, amelyet macOS-eszközök kompromittálására terveztek. A csoport tudomása szerint a szombati bejelentés az első nyilvános értesítés arról, hogy a Lockbit zsarolóprogramja Apple-számítógépek ellen is használható, bár úgy tűnik, a banda már tavaly ősz óta kínálja ezt a képességet.

„Azt hiszem, ez az első alkalom, hogy az egyik legnagyobb zsarolóprogram-szereplő célba vette az Apple operációs rendszerét” – mondta Brett Callow biztonsági elemző, rámutatva a közzététel jelentőségére. Ahogy a 9to5Mac megjegyzi, a LockBit banda történelmileg a Windowsra, a Linuxra és a virtuális host gépekre koncentrált. Ennek oka, hogy ezeket az operációs rendszereket túlnyomórészt azok a vállalkozások használják, amelyeket a csoport partnerei célba vesznek. Azok számára, akik nem tudják, a Lockbit banda úgynevezett „ransomware-as-a-service” műveletet folytat. A csoport nem vesz részt közvetlenül a vállalkozásoktól való váltságdíj begyűjtésében. Amit viszont csinál, az a rosszindulatú szoftverek létrehozása és karbantartása, amelyekért a társszervezeteik fizethetnek, hogy egy szervezet ellen használhassák őket. Az amerikai igazságügyi minisztérium által tavaly ősszel nyilvánosságra hozott vádirat szerint a LockBit „az egyik legaktívabb és legpusztítóbb zsarolóvírus-változat a világon”. A szoftver 2022 végéig legalább 1000 áldozat számítógépes rendszerét fertőzte meg, köztük egy törökországi Holiday Inn szállodát. Úgy vélik, a banda partnerei több tízmillió dollárt követeltek az áldozatoktól.

A Bitdefender tájékoztatása szerint a közelmúltban a Az FBI és két másik amerikai kormányzati ügynökség is kiadott egy közleményt, amelyben a LockBit 3.0 hírhedt zsarolóvírus műveletét elemezték a folyamatban lévő #StopRansomware kampány részeként. Az FBI a Kiberbiztonsági és Infrastrukturális Biztonsági Ügynökséggel (CISA) és a több államot átfogó információmegosztó és elemző központtal (MS-ISAC) közösen adta ki a tanácsadást, amely tartalmazza a taktikákat, technikákat és eljárásokat (TTP-ket), a veszélyeztetettség indikátorait (IOC-ket), a zsarolóvírus képességeinek részleteit, enyhítési tanácsokat, valamint tippeket az értékes információknak a hatóságokkal való megosztására.

„A LockBit 3.0 zsarolóprogram műveletei Ransomware-as-a-Service (RaaS) modellként működnek, és a zsarolóprogram korábbi verzióinak, a LockBit 2.0-nak és a LockBitnek a folytatása” – olvasható a részletes jelentésben. „2020 januárja óta a LockBit affiliate-alapú zsarolóvírusváltozatként működik; a LockBit RaaS-t telepítő affiliate-ek sokféle TTP-t használnak, és a vállalkozások és a kritikus infrastruktúrával rendelkező szervezetek széles körét támadják, ami kihívást jelenthet a számítógépes hálózatok hatékony védelmében és kárenyhítésében.”.

Annak érdekében, hogy elkerülje, hogy áldozatul essen a LockBit 3.0-hoz hasonló rosszindulatú zsarolóprogram-kampányoknak, a következő óvintézkedéseket kell tennie:

  • Erős jelszószabályok érvényesítése, például a jelszó újrahasznosításának elkerülése, a jelszó felhasználói „sók” hozzáadása és a fiókok zárolása több sikertelen bejelentkezési kísérlet észlelésekor.
  • Az adathalászatnak ellenálló többfaktoros hitelesítés (MFA) engedélyezése.
  • szegmentálja a hálózatokat a rosszindulatú programok oldalirányú mozgásának megakadályozása érdekében
  • Kihasználatlan portok letiltása
  • A parancssori és szkriptelési műveletek jogosultságainak letiltása.
  • Hideg (offline) biztonsági mentések készítése, titkosítása és rendszeres karbantartása.