Forrás: bleepingcomputer
A Mac-felhasználóknak új fenyegetéssel kell szembenézniük: a LockBit zsarolóvírus csapat kifejlesztett egy olyan kártevőt, amely képes titkosítani a Mac fájlokat, beleértve az Apple Silicon processzorokat használó új modelleket is. Ez az első alkalom, hogy egy nagy zsarolóvírus-művelet kifejezetten a Mac gépeket célozza meg.
A LockBit zsarolóvírus egyik legaktívabb és legveszélyesebb zsarolóvírus-csoport a világon, amely több száz vállalatot és intézményt támadott meg az elmúlt években. A LockBit zsarolóvírus mint szolgáltatás (RaaS) modellt használ, amely lehetővé teszi más bűnözőknek, hogy a zsarolóvírust igénybe vegyék a saját támadásaikhoz. A LockBit két fő változatot kínál: a LockBit Black-et, amely a BlackMatter zsarolóvírus kódján alapul, és a LockBit Green-t, amely a Conti zsarolóvírus kódján alapul.
A LockBit zsarolóvírus eddig főleg Windows, Linux és VMware ESXi szervereket támadott meg, de most úgy tűnik, hogy bővíteni akarja a célközönségét. A MalwareHunterTeam biztonsági kutatók felfedezték, hogy a LockBit zsarolóvírus új változatai között vannak olyanok, amelyek macOS-re, ARM-ra, FreeBSD-re, MIPS-re és SPARC-ra vannak optimalizálva. Ezek közül a legérdekesebb az Apple M1-re tervezett változat, amely az új Mac gépek processzorát használja.
A LockBit zsarolóvírus működése
A LockBit zsarolóvírus célja az, hogy titkosítsa a célpont fájljait és követeljen váltságdíjat azok visszafejtéséért. A titkosítás során a fájlok neve megváltozik és egy .lockbit kiterjesztést kapnak. A titkosított mappákban egy váltságdíjüzenet jelenik meg egy HTML fájlban, amely utasítja az áldozatot arra, hogy lépjen kapcsolatba a támadókkal egy Tor weboldalon keresztül.
A LockBit zsarolóvírus általában olyan sebezhetőségeket használ ki, amelyek lehetővé teszik a távoli kódvégrehajtást vagy az adminisztrátori jogosultságok megszerzését. Ilyen sebezhetőségek lehetnek például a Microsoft Exchange Server ProxyLogon sebezhetősége vagy az Accellion FTA sebezhetősége. A támadók gyakran használnak más eszközöket is, mint például a Cobalt Strike vagy az Mimikatz, hogy terjesszék a fertőzést és érzékeny adatokat lopjanak.
A LockBit zsarolóvírus hatása
A LockBit zsarolóvírus komoly károkat okozhat az áldozatainak. A titkosított fájlok elvesztése mellett a támadók gyakran azzal fenyegetik az áldozatokat, hogy nyilvánosságra hozzák vagy eladják az ellopott adatokat, ha nem fizetik ki a váltságdíjat. A váltságdíj összege általában több tízezer vagy akár több százezer dollár is lehet. A LockBit zsarolóvírus már több nagy céget és intézményt érintett, mint például a Press Trust of India hírügynökséget, a Miltenyi Biotec biotechnológiai céget, a Bangkok Airways légitársaságot vagy az Accenture tanácsadó céget.
A LockBit zsarolóvírus megelőzése és kezelése
A LockBit zsarolóvírus elleni védekezéshez fontos, hogy a cégek és a felhasználók megfelelő biztonsági intézkedéseket tegyenek. Íme néhány tipp:
- Frissítsék rendszeresen az operációs rendszert, az alkalmazásokat és a bővítményeket, hogy javítsák a sebezhetőségeket.
- Használjanak erős jelszavakat és kétfaktoros hitelesítést a fiókokhoz.
- Korlátozzák a bejelentkezési kísérletek számát és blokkolják a rosszindulatú IP-címeket.
- Használjanak egy tűzfalat vagy egy biztonsági szoftvert, amely felismeri és blokkolja a rosszindulatú forgalmat és a kódvégrehajtást.
- Készítsenek rendszeres biztonsági mentéseket a fontos fájlokról egy külső adathordozón vagy felhőben.
- Ne nyissanak meg gyanús e-maileket vagy csatolmányokat, és ne kattintsanak meg nem bízható linkekre.
Ha egy számítógép megfertőződött a LockBit zsarolóvírussal, akkor ne fizessenek váltságdíjat a támadóknak, mert nincs garancia arra, hogy visszakapják az adatokat vagy hogy nem támadják meg őket újra. Inkább értesítsék az illetékes hatóságokat és egy biztonsági szakértőt, aki segíthet eltávolítani a kártevőt és helyreállítani az adatokat. Ha lehetséges, használjanak egy biztonsági mentést vagy egy ingyenes dekódoló eszközt, amelyet néhány biztonsági cég kínál.
nki.gov.hu
hieglzso