Зиянкестер кибершабуылдар үшін ағып кеткен lockbit шифрлау құрылғысын пайдалануды жалғастыруда

Зиянкестер өздерінің зиянды модификацияларын жасау үшін LockBit 3.0 шифрлау бағдарламасының 2022 жылы ағып кеткен нұсқасын пайдалануды жалғастыруда. 2024 жылы «Касперский зертханасының» сарапшылары бірнеше елдердегі оқиғаларда осындай құрылымдарды қолдануға тап болды. Сірә, бұл шабуылдар бір-бірімен байланысты емес және әртүрлі топтар жасаған. ТМД елдеріндегі шабуылдар үшін ағып кеткен билдерді LockBit тобының бәсекелестері де қолдана алады.

Желіні тарату және қорғанысты айналып өту мүмкіндіктері шабуылдардың тиімділігін арттырады, әсіресе шабуылдаушыларда мақсатты инфрақұрылымда артықшылықты тіркеулік деректері болса. Сонымен, оқиғалардың бірінде бұрын-соңды болмаған имперсонация және желі арқылы тарату функциялары бар LockBit үлгісі қолданылды. Шабуылдаушылар жүйелік әкімшінің тіркеулік деректерін иемденгендіктен, олар корпоративтік инфрақұрылымның ең маңызды салаларына қол жеткізе алды. Ұрланған тіркеулік деректерін пайдаланып шифрлаушының бұл нұсқасы желі арқылы өздігінен таралуы және Windows Defender бағдарламасын өшіру, ортақ желі ресурстарын шифрлау және іздерді байқау үшін Windows оқиғалар журналдарын жою сияқты зиянды әрекеттерді орындауы мүмкін.

Билдер сонымен қатар шабуылдаушыларға қандай файлдар мен каталогтарды шифрлаудың қажеті жоқ екенін таңдауға мүмкіндік береді. Егер шабуылдаушылар мақсатты инфрақұрылымды жақсы білсе, олар маңызды файлдарды, әкімші тіркелгілерін және негізгі жүйелерді белгілеу арқылы объектінің белгілі бір желілік архитектурасына зиянды бағдарлама жасай алады. Зиянды тек белгілі бір файлдарды, мысалы, барлық файлдарды жұқтыру үшін конфигурациялауға болады .xlsx және .docx немесе белгілі бір жүйелер.

«Көбінесе зиянкестер белгілі болған билдердің стандартты немесе сәл өзгертілген конфигурациясын пайдаланады, бірақ болашақта зиянды әкімші атынан операцияларды орындай алатын және желі арқылы таралатын мұндай оқиғалар болуы мүмкін екенін жоққа шығармаймыз», ― деп түсіндіреді «Касперский зертханасы» компьютерлік инциденттерге әрекет ету жөніндегі жаһандық топтың жетекшісі Константин Сапронов.

Шифрлау бағдарламаларының шабуылдары нәтижесінде деректерді жоғалту қаупін азайту үшін «Касперский зертханасының» сарапшылары компанияларға келесідей кеңес береді:

— барлық жүйелерде жаңартуларды уақтылы орнату;

— маңызды ресурстарға қол жеткізу үшін көп факторлы аутентификацияны қолдану;

— маңызды деректердің сақтық көшірмесін жасаңыз;

— шабуыл бетін азайту үшін пайдаланылмаған қызметтер мен порттарды өшіріңіз;

— әлсіз жерлерді анықтау және тиімді қарсы іс-қимыл шараларын уақтылы қолдану үшін осалдықтардың енуіне және мониторингіне үнемі тесттер жүргізу;

— қызметкерлерге ықтимал киберқауіпсіздіктер туралы және олардан қалай аулақ болу керектігі туралы хабарлау үшін Киберқауіпсіздік бойынша тренингтерді жүйелі түрде өткізу;

— тәуекелдерді Белсенді бақылау үшін Бизнеске арналған Kaspersky Security, сондай-ақ Managed Detection and Response (MDR) сервисі сияқты сенімді қорғаныс шешімін пайдалану.