Gondosan pécézi ki az áldozatait a LockBit zsarolóprogram

​Azáltal, hogy a LockBit zsarolóprogram specifikus üzleti alkalmazásokat futtató rendszereket kezdett támadni, meglehetősen finnyássá vált. Erre azonban megvolt az oka.
 

A Sophos kiberbiztonsági szakértői arra hívták fel a figyelmet, hogy a LockBit zsarolóvírus automatizált eszközöket használ arra, hogy a feltört hálózatokon specifikus üzleti és POS szoftvereket derítsen fel.
 
A kutatók számos új támadómódszert is felfedeztek, melyeket a LockBit a detektálás elkerüléséhez használ. Ezek közé tartozik a PowerShell fájlok átnevezése és távoli Google dokumentumok használata a kommunikációhoz. A támadások nagymértékben automatizált jellege miatt a zsarolóvírus öt perccel az elindulása után már képes elterjedni a helyi hálózatban.
 
"A LockBit érdeklődése a specifikus üzleti alkalmazások és kulcsszavak iránt azt jelzi, hogy a támadók egyértelműen a kisebb vállalatok számára értékes rendszerek azonosítására törekednek, hogy aztán az áldozatokat fizetésre, méghozzá gyors fizetésre kényszerítsék" - mondta Sean Gallagher, a Sophos vezető kutatója.
 
"Láttunk már olyan zsarolóvírust, amely futás közben leállította az üzleti alkalmazásokat, de első alkalommal figyeltük meg, amint a támadók bizonyos alkalmazástípusokat kerestek automatizált módon" - tette hozzá a szakember.
 
Ebben az esetben PowerShell scriptek segítik a támadókat azon rendszerek azonosításában, melyek különösen értékes adatokkal bíró alkalmazásokat futtatnak. Így a csalóknak nem kell időt vesztegetniük olyan rendszerek titkosítására, melyek kompromittálása után az áldozatok úgysem fizetnének.
 
"Az ilyen típusú zsarolóvírus támadások elleni védekezés egyetlen módja a mélyreható védelem, mely az összes eszközre konzisztens módon kiterjed" - mondta a Sophos szakértője.