Lockbit-ransomware besmet geen computers met bepaalde taalinstelling

[Captain Kirk]

De "nieuwste" versie van de Lockbit-ransomware infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om het Russisch, Oekraïens en Syrisch. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De Amerikaanse overheidsdiensten waarschuwen instanties geregeld voor specifieke ransomware-exemplaren, waarbij ze informatie over de werkwijze van ransomwaregroep delen, alsmede andere details.

Met de gedeelde tactieken, technieken en procedures (TTP's) en indicators of compromise (IOC's) kunnen organisaties zich dan tegen de ransomware beschermen. De nieuwste waarschuwing richt zich op Lockbit 3.0, die vorig jaar juni voor het eerst werd opgemerkt. Net als de vorige versies wordt ook LockBit 3.0 aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.

Lockbit 3.0 infecteert geen systemen met een bepaalde taalinstelling. Het gaat onder andere om Russisch, Oekraïens en Syrisch. Wanneer de ransomware een dergelijke taalinstelling detecteert stopt de ransomware zichzelf en zal het systeem niet infecteren. Dit zouden de ransomware-ontwikkelaars, waarvan wordt vermoed dat ze vanuit deze regio's opereren, opzettelijk doen om vervolging door de autoriteiten daar te ontlopen. Zolang er geen "lokale" slachtoffers worden gemaakt kunnen de ransomwaregroepen dan met hun activiteiten doorgaan is het idee. In het verleden hebben experts weleens gesteld dat het wijzigen van de taalinstelling ransomware kan voorkomen.

Verder bevat de waarschuwing van de FBI en het CISA informatie over de tools die partners/afnemers van de ransomware gebruiken. Het gaat dan om software zoals FileZilla, MegaSync, PuTTY Link, rclone, Splashtop en WinSCP. Daarnaast maken Lockbit-partners vaak gebruik van publieke file sharing websites voor het uploaden van data voordat ze die versleutelen. Dit wordt gedaan om slachtoffers extra af te persen. Wanneer er niet wordt betaald dreigen de aanvallers de data openbaar te maken.

Om aanvallen met ransomware te voorkomen doen de Amerikaanse overheidsdiensten allerlei aanbevelingen, maar met drie zaken moeten organisaties vandaag nog beginnen, zo laat de waarschuwing weten. Het gaat dan om het verhelpen van bekende, aangevallen kwetsbaarheden, het trainen van personeel om phishingaanvallen te herkennen en te melden en het implementeren van phishingbestendige multifactorauthenticatie.

 

bron: https://www.security.nl