Dok se incidenti sa ransomverom dešavaju više od 30 godina, tek u poslednjoj deceniji termin „ransomvare“ se redovno pojavljuje u popularnim medijima. Ransomvare je vrsta zlonamernog softvera koji blokira pristup računarskim sistemima ili šifruje datoteke dok se otkupnina ne plati.
Sajber kriminalne bande su usvojile ransomvare kao šemu za brzo bogaćenje. Sada, u eri „ransomvare-a kao usluge“, ovo je postala plodna i veoma profitabilna taktika. Pružanje ransomvare-a kao usluge znači da grupe imaju koristi od partnerskih šema gde se provizija plaća za uspešne zahteve za otkupninom.
Iako samo jedna od mnogih bandi koje deluju, LockBit je sve vidljiviji, sa nekoliko visokoprofilnih žrtava koje se nedavno pojavilo na veb stranici grupe.
Dakle, šta je LockBit? Ko je postao njihova žrtva? I kako da se zaštitimo od njih?
Da stvari budu zbunjujuće, termin LockBit se odnosi i na zlonamerni softver (malver) i na grupu koja ga je kreirala.
LockBit je prvi put privukao pažnju 2019. To je oblik zlonamernog softvera koji je namerno dizajniran da se tajno primenjuje unutar organizacija, da pronađe vredne podatke i ukrade ih.
Ali umesto da jednostavno krade podatke, LockBit je oblik ransomvare-a. Kada se podaci kopiraju, oni se šifruju, čineći ih nedostupnim legitimnim korisnicima. Ovi podaci se zatim drže za otkup — platite ili više nikada nećete videti svoje podatke.
Da bi se žrtva dodatno podstakla, ako se otkupnina ne plati, preti im se objavljivanjem ukradenih podataka (često se opisuje kao dvostruka iznuda). Ova pretnja je pojačana tajmerom za odbrojavanje na LockBit-ovom blogu na mračnom vebu.
Malo se zna o grupi LockBit. Na osnovu njihove veb stranice, grupa nema određenu političku privrženost. Za razliku od nekih drugih grupa, oni takođe ne ograničavaju broj filijala:
„Nalazimo se u Holandiji, potpuno apolitični i zanima nas samo novac. Uvek imamo neograničen broj filijala, dovoljno prostora za sve profesionalce. Nije važno u kojoj zemlji živite, kojim jezikom govorite, koje godine ti si, u koju religiju veruješ, svako na planeti može da radi sa nama u bilo koje doba godine“.
Posebno, LockBit ima pravila za svoje filijale. Primeri zabranjenih meta (žrtva) uključuju:
Drugi provajderi ransomvare-a takođe su tvrdili da neće ciljati institucije poput bolnica — ali to ne garantuje imunitet žrtve. Ranije ove godine jedna kanadska bolnica je bila žrtva LockBita, što je pokrenulo grupu koja stoji iza LockBita da objavi izvinjenje, ponudi besplatne alate za dešifrovanje i navodno protera podružnicu koja je hakovala bolnicu.
Iako pravila mogu biti na snazi, uvek postoji potencijal da lažni korisnici ciljaju na zabranjene organizacije.
Konačno pravilo na listi iznad je zanimljiv izuzetak. Prema grupi, ove zemlje su zabranjene jer je veliki broj članova grupe „rođen i odrastao u Sovjetskom Savezu“, uprkos tome što se sada „nalaze u Holandiji“.
Među žrtvama visokog profila su Kraljevska pošta i Ministarstvo odbrane Ujedinjenog Kraljevstva i japanski proizvođač biciklističkih komponenti Shimano. Podaci ukradeni iz avio kompanije Boing procureli su ove nedelje nakon što je kompanija odbila da plati otkupninu LockBit-u.
Iako još nije potvrđeno, LockBit je preuzeo odgovornost za nedavni incident ransomvare-a koji je doživela Industrijska i komercijalna banka Kine.
Od kada se pojavio na sceni sajber kriminala, LockBit je povezan sa skoro 2.000 žrtava samo u Sjedinjenim Državama.
Sa liste žrtava koja se vidi u nastavku, LockBit se očigledno koristi u pristupu raspršivanja oružja, sa širokim spektrom žrtava. Ovo nije serija planiranih, ciljanih napada. Umesto toga, pokazuje da softver LockBit koristi raznovrstan spektar kriminalaca u modelu usluge.
Poslednjih godina, ransomvare kao usluga (skraćeno RaaS) je postao popularan.
Baš kao što organizacije koriste dobavljače softvera kao usluge—kao što je licenciranje za kancelarijske alate kao što je Microsoft 365 ili računovodstveni softver za obračun plata—zlonamerne usluge obezbeđuju alate za sajber kriminalce.
Ransomver kao usluga omogućava neiskusnom kriminalcu da brzo i efikasno isporuči kampanju ransomvare-a na više meta – često uz minimalne troškove i obično na osnovu podele profita.
RaaS platforma se bavi upravljanjem zlonamernim softverom, ekstrakcijom podataka, pregovorima sa žrtvama i rukovanjem plaćanjem, efektivno outsourcing kriminalnih aktivnosti.
Proces je toliko dobro razvijen da takve grupe čak daju smernice o tome kako da postanete pridruženi partner i koje će prednosti dobiti. Uz proviziju od 20% od otkupnine koja se plaća LockBit-u, ovaj sistem može da generiše značajan prihod za grupu—uključujući depozit od 1 bitkoina (otprilike 58.000 A$) koji se zahteva od novih korisnika.
Iako je ransomvare sve veća briga širom sveta, dobre prakse sajber bezbednosti mogu pomoći. Ažuriranje i zakrpe naših sistema, dobro upravljanje lozinkom i nalogom, praćenje mreže i reagovanje na neuobičajene aktivnosti mogu pomoći da se minimizira verovatnoća bilo kakvog kompromisa — ili bar ograniči njegov obim.
