Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 7. februar 2022 | Emne: Sikkerhed 
Federal Bureau of Investigations (FBI) har offentliggjort en ny advarsel om LockBit 2.0. anbefaler, at virksomheder aktiverer multi-factor authentication (MFA) og bruger stærke, unikke adgangskoder til alle admin- og højværdikonti for at modarbejde belastningen af ransomware, der bruges af en af de travleste angrebsgrupper på internettet i dag.
MFA er afgørende for at beskytte mod kompromitterede bruger- og administratoradgangskoder, men Microsoft har fundet ud af, at 78 % af organisationer, der bruger Azure Active Directory, ikke aktiverer MFA.
LockBit 2.0 retter sig mod Windows-pc'er og nu også Linux-servere via fejl i VMWares virtuelle ESXi-maskiner og har blandt andet ramt teknologikonsulent- og servicegiganten Accenture og Frankrigs justitsministerium.
< strong>SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)
LockBits operatører bruger enhver tilgængelig metode til at kompromittere et netværk, så længe det virker. Disse inkluderer, men er ikke begrænset til, køb af adgang til et allerede kompromitteret netværk fra “adgangsmæglere”, udnyttelse af upatchede softwarefejl og endda betaling for insider-adgang samt brug af udnyttelser til hidtil ukendte nuldage-fejl, ifølge FBI's rapport.
Gruppens teknikker fortsætter med at udvikle sig. FBI siger, at LockBits operatører er begyndt at annoncere for insidere hos et målfirma for at hjælpe dem med at etablere indledende adgang til netværket. Insidere blev lovet en nedskæring af indtægterne fra et vellykket angreb. En måned tidligere begyndte den automatisk at kryptere enheder på tværs af Windows-domæner ved at misbruge gruppepolitikker i Active Directory.
Efter at have kompromitteret et netværk, bruger LockBit penetrationstestværktøjer som Mimikatz til at eskalere privilegier og bruge flere værktøjer til at eksfiltrere data (for at true ofre med et læk, hvis de ikke betaler), før filer krypteres. LockBit efterlader altid en løsesumseddel med instruktioner til, hvordan man får dekrypteringsnøglen.
Ligesom andre Rusland-baserede ransomware-operationer, bestemmer LockBit 2.0 system- og brugersprogindstillingerne og udelukker en organisation fra angreb, hvis sprogene er et af 13 østeuropæiske sprog. FBI lister sprogkoderne i LockBit 2.0 i februar 2022 – såsom 2092 for aserisk/kyrillisk og 1067 for armensk – der forårsager, at den ikke aktiveres.
“Hvis der opdages et østeuropæisk sprog, afsluttes programmet uden infektion,” bemærker FBI.
Lockbit 2.0 identificerer og indsamler en inficeret enheds værtsnavn, værtskonfiguration, domæneoplysninger, lokale drevkonfigurationer, eksterne delinger og monterede eksterne lagerenheder.
Den forsøger derefter at kryptere data, der er gemt på enhver lokal eller fjernenhed, men springer filer forbundet med kernesystemfunktioner over, ifølge FBI. Herefter sletter den sig selv fra disken og skaber persistens ved opstart.
Udover at kræve stærke, unikke adgangskoder og MFA til webmail, VPN'er og konti til kritiske systemer, anbefaler FBI også en række afhjælpninger, herunder at holde operativsystemer og software opdateret og fjerne unødvendig adgang til administrative delinger. Det anbefaler også at bruge en værtsbaseret firewall og aktivere “beskyttede filer” i Windows, med henvisning til Microsofts kontrollerede mappeadgang.
Det anbefaler også, at virksomheder segmenterer deres netværk, undersøger enhver unormal aktivitet, implementerer tidsbaseret adgang til konti, der er angivet på administratorniveau og højere, deaktiverer kommandolinje- og scriptingaktiviteter og tilladelser, og – selvfølgelig vedligehold – offline sikkerhedskopier af data.
Sikkerhed
Flere virksomheder bruger multi-faktor-godkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Linux | Sikkerheds-tv | Datastyring | CXO | Datacentre