თავდამსხმელები აგრძელებენ LockBit გამოსასყიდი პროგრამის გაჟონილი ბილდერის გამოყენებას კიბერშეტევებისთვის
თავდამსხმელები აგრძელებენ LockBit 3.0 გამოსასყიდი პროგრამის იმ ბილდერ ვერსიის (builder) გამოყენებას, რომელმაც გაჟონა 2022 წელს, მავნე პროგრამის საკუთარი მოდიფიკაციების შესაქმნელად. 2024 წელს „კასპერსკის ლაბორატორიის“ ექსპერტებმა შეამჩნიეს, რომ ასეთი ნაკრებები გამოიყენება ბევრ ქვეყანაში. სავარაუდოდ, ამ თავდასხმებს ერთმანეთთან კავშირი არ აქვთ და ხორციელდებიან სხვადასხვა ჯგუფის მიერ. დსთ-ს ქვეყნებში თავდასხმებისთვის გაჟონილი ვარიანტი შეეძლოთ გამოეყენებინათ LockBit ჯგუფის კონკურენტებსაც.
კომპანია იუწყება, რომ ქსელში გავრცელებისა და უსაფრთხოების შემოვლითი ფუნქციები, რომლებიც შეიძლება იყოს კონფიგურირებული ბილდერში, ზრდის შეტევების ეფექტურობას, განსაკუთრებით იმ შემთხვევაში, თუ თავდამსხმელებს უკვე აქვთ პრივილეგირებული სერთიფიკატები სამიზნე ინფრასტრუქტურაზე. ამრიგად, ერთ-ერთი ინციდენტის დროს გამოიყენეს LockBit ნიმუში ადრე არნახული იმიტაციისა და ქსელის განაწილების ფუნქციებით. ვინაიდან თავდამსხმელებმა მიიღეს სისტემის ადმინისტრატორის რწმუნებათა სიგელები, მათ შეძლეს წვდომა კორპორატიული ინფრასტრუქტურის ყველაზე კრიტიკულ უბნებზე. გამოსასყიდი პროგრამის ეს ვერსია, მოპარული სერთიფიკატების გამოყენებით, შეიძლება დამოუკიდებლად გავრცელდეს ქსელში და განახორციელოს მავნე მოქმედებები, როგორიცაა Windows Defender-ის გამორთვა, ქსელის გაზიარებების დაშიფვრა და Windows-ის მოვლენის ჟურნალის წაშლა მისი კვალის დასაფარად.
ბილდერი ასევე საშუალებას აძლევს თავდამსხმელებს აირჩიონ რომელი ფაილები და კატალოგები არ უნდა იყოს დაშიფრული. თუ თავდამსხმელებმა კარგად იციან სამიზნე ინფრასტრუქტურა, მათ შეუძლიათ მავნე პროგრამის მორგება სამიზნის სპეციფიურ ქსელურ არქიტექტურაზე, მიზანში იღებენ მნიშვნელოვან ფაილებს, ადმინისტრატორის ანგარიშებს და საკვანძო სისტემებს. შესაძლებელია მავნე პროგრამის კონფიგურირება ისე, რომ დააინფიციროს მხოლოდ გარკვეული ფაილები, მაგალითად, ყველა .xlsx და .docx ფაილი, ან კონკრეტული სისტემები.
„ყველაზე ხშირად, თავდამსხმელები ძირითადად იყენებენ გაჟონილი ბილდერის სტანდარტულ ან ოდნავ შეცვლილ კონფიგურაციას, მაგრამ ჩვენ არ გამოვრიცხავთ, რომ მომავალში კიდევ იყოს ინციდენტები, როდესაც მავნე პროგრამა შეძლებს ოპერაციების შესრულებას ადმინისტრატორის სახით და გავრცელდეს მთელ ქსელში. რუსეთში LockBit გამოსასყიდ პროგრამას ხშირად იყენებენ თავდასხმებში, რომელთა მიზანია მონაცემთა მთლიანად განადგურება და არა გამოსასყიდის მიღება. ამ საფრთხეს შეიძლება ჰქონდეს დამღუპველი შედეგები კომპანიებისთვის,” – ამბობს „კასპერსკის ლაბორატორიის“ გლობალური კომპიუტერული ინციდენტების რეაგირების ჯგუფის ხელმძღვანელი კონსტანტინე საპრონოვი.
ამ საფრთხის შესახებ მეტი შეგიძლიათ წაიკითხოთ ამ ბმულზე.
გამოსასყიდი პროგრამებისგან თავის დასაცავად კასპერსკის ლაბორატორიის ექსპერტები კომპანიებს ურჩევენ:
· ოპერატიულად დააინსტალირონ პროგრამული უზრუნველყოფის განახლებები ყველა სისტემაზე;
· გამოიყენონ მრავალფაქტორიანი ავთენტიფიკაცია მნიშვნელოვან რესურსებზე წვდომისათვის;
· შექმნან კრიტიკული მონაცემების სარეზერვო ასლები;
· გამოთიშონ გამოუყენებელი სერვისები და პორტები თავდასხმის ზედაპირის მინიმუმამდე შესამცირებლად;
· რეგულარულად ჩაატარონ შეღწევადობის ტესტები და მოწყვლადობის მონიტორინგი სისუსტეების გამოსავლენად და ეფექტური კონტრზომების დროულად გამოყენების მიზნით;
· რეგულარულად ჩაატარონ კიბერუსაფრთხოების ტრენინგები, რათა თანამშრომლებმა იცოდნენ შესაძლო კიბერ საფრთხეებისა და მისგან თავის არიდების შესახებ;
· გამოიყენონ უსაფრთხოების საიმედო გადაწყვეტა, როგორიცაა Kaspersky Security ბიზნესისათვის, ასევე Managed Detection and Response (MDR) , საფრთხის პროაქტიული მონიტორინგისთვის.
