Innehållsförteckning
Viktiga takeaways
- Brottsbekämpande ansträngningar störde LockBits infrastruktur och affiliate-nätverk, men andra ransomware-grupper är redo att gå in.
- Organisationer som är involverade i LockBit-borttagning har börjat släppa dekrypteringsverktyg för offer, men återhämtning är inte garanterad.
- Trots LockBits bortgång växer nya ransomware-grupper fram, med fem anmärkningsvärda typer som är redo att ta dess plats.
Under de senaste åren har LockBit varit ett av de mest ökända ransomware-gängen, som pressat ut hundratals miljoner dollar och slängt enorma mängder data i processen.
Men nu har kombinerade brottsbekämpande insatser avsevärt stört LockBits infrastruktur, tagit ner dess webbplats och avslöjat dess affiliate-nätverk och kryptovalutainnehav. Tyvärr betyder det inte att ransomware tar en paus, eftersom det finns massor av andra ransomware-typer som väntar på att fylla tomrummet.
Vad är LockBit Ransomware?
Ransomware är en av de värsta typerna av skadlig programvara, som låser din maskin och kräver betalning för att frigöra dina data oskadda.
LockBit är en kriminell grupp som hanterar, driver och distribuerar ransomware med samma namn. LockBit ransomware är ökänt och har drabbat tiotusentals företag, organisationer och vanliga människor över hela världen, vilket potentiellt tjänar miljarder dollar i processen.
LockBit är särskilt farligt eftersom det sprider sig själv – det vill säga det kan spridas på egen hand, vilket gör det nästan unikt bland ransomware-typer. På grund av detta är det extremt svårt att stoppa en LockBit ransomware-attack, eftersom ransomware kan identifiera andra sårbara mål utan mänsklig interaktion.
Dessutom släpper LockBit-gruppen regelbundet uppdateringar för sin ransomware, lägger till nya funktioner och justerar dess funktionalitet, för att svara på hot mot dess effektivitet. LockBit 3.0 var den sista större uppdateringen, som lanserades i juni 2022.
Vad hände med LockBit?
Den 19 februari 2024 avslöjade brottsbekämpande myndigheter, inklusive FBI, Storbritanniens National Crime Agency och Europol, att en kombinerad operation allvarligt hade stört LockBits organisation.
”Operation Cronos” låste LockBits ägare och affiliates (ja, LockBit hade ett affiliate-nätverk som använde sin ransomware och betalade en procentandel till utvecklarna, med en ransomware as a service-modell) från sitt eget nätverk och tog ner cirka 11 000 domäner och servrar i processen. Två LockBit-utvecklare arresterades också, medan andra LockBit affiliate-användare också har arresterats som en del av samma operation.
Enligt CISA, LockBit-attacker utgjorde mer än 15 procent av alla ransomware-attacker i USA, Storbritannien, Kanada, Australien och Nya Zeeland 2022, vilket är en fenomenal siffra. Men med LockBits primära administrationskonto och plattform under kontroll av myndigheterna har dess förmåga att starta och kontrollera sitt nätverk effektivt utplånats.
När kommer LockBit-dekrypteringsverktygen att bli tillgängliga?
I snabb takt har några av organisationerna som är involverade i LockBit-borttagningen redan börjat släppa LockBit-dekrypteringsverktyg och tillhandahålla LockBit-dekrypteringsnycklar till offer.
- US/FBI: Nå ut till FBI för att få nycklar LockBit offer
- UK/NCA: Kontakta NCA för att få nycklar via detta e-postmeddelande: [email protected]
- Others/Europol, Polite (NL) Följ instruktionerna för Lockbit 3.0-dekryptering på Ingen mer lösen
Det finns ingen garanti för att du framgångsrikt kommer att återställa filer krypterade med LockBit, men det är absolut värt ett försök, särskilt som LockBit inte alltid skickade rätt dekrypteringsnyckel, även efter att ha tagit emot en lösensumma.
5 typer av ransomware som kommer att ersätta LockBit
LockBit var ansvarig för en enorm mängd ransomware, men det är långt ifrån den enda ransomware-gruppen i drift. LockBits bortgång kommer sannolikt att skapa ett kortlivat vakuum för andra ransomware-grupper att flytta in i. Med det i åtanke, här är fem olika typer av ransomware att hålla utkik efter:
- ALPHV/BlackCat: En annan ransomware som tjänstemodell, ALPHV/BlackCat har äventyrat hundratals organisationer runt om i världen. Det är särskilt anmärkningsvärt som en av de första typerna av ransomware skriven helt i programmeringsspråket Rust, vilket hjälper den att rikta in sig på både Windows- och Linux-hårdvara.
- Cl0p: Cl0p-organisationen har varit verksam sedan åtminstone 2019 och beräknas ha utpressat över 500 miljoner dollar i lösensummor. Cl0p exfiltrerar vanligtvis känslig data, som sedan används för att pressa sina offer att betala en lösensumma, både för att släppa krypterad data och stoppa läckage av känslig data.
- Play/PlayCrypt: En av de nyare ransomware-typerna, Play (även känd som PlayCrypt) dök upp först 2022 och är känd för sin ”.play”-filtillägg som används under sina ransomware-attacker. Liksom Cl0p är Play-gruppen också känd för sin dubbelutpressningstaktik och använder ett brett spektrum av sårbarheter för att avslöja sina offer.
- Royal: Medan Royal driver en ransomware som en tjänstemodell delar den inte sin information och kod på samma sätt som andra ransomware-grupper. Men, precis som andra grupper, använder Royal multiutpressningstaktik, stjäl data och använder den för att pressa ut lösensummor.
- 8Base: 8Base dök plötsligt upp i mitten av 2023, med en ökning av ransomware-aktiviteten med flera typer av utpressning, tillsammans med nära kopplingar till andra stora ransomware-grupper som RansomHouse.
Malwarebytes forskning visar att även om LockBit var en av de mest produktiva typerna av ransomware, är de tio bästa ransomware-organisationerna ansvariga för 70 procent av alla ransomware-attacker. Så även utan LockBit väntar ransomware absolut i kulisserna.
Är LockBit Ransomware helt klar?
Lika fantastisk som nyheten om LockBits bortgång är, nej, LockBit ransomware är inte helt i marken. Ars Technica rapporterar nya LockBit-attacker dagar efter nedtagningen, och det är av ett par anledningar.
En, även om LockBits infrastruktur togs ner, betyder det inte att ransomware-koden inte existerar. En version av LockBits källkod läckte ut 2022, och det kan vara det som ledde till de nya attackerna. Dessutom hade LockBit ett enormt nätverk som spänner över många länder. Medan dess verksamhetsbas var fokuserad i Ryssland, har en organisation av denna storlek och sofistikerade definitivt säkerhetskopior och metoder för att komma tillbaka online, även om det tar lite tid att bygga om.
Utan tvekan har vi inte sett det sista av LockBit ransomware.