Wat is LockBit?
Wat LockBit vooral gevaarlijk maakt, is de snelheid waarmee het zich binnen een netwerk kan verspreiden. Na de infectie zoekt de ransomware naar verbonden systemen en apparaten om zich verder te verspreiden en meer bestanden te versleutelen. Op deze manier kan het makkelijk bedrijven afpersen door bedrijfsactiviteiten te verstoren en het stelen en openbaar maken van gegevens.
LockBit vermijdt detectie door beveiligingssoftware uit te schakelen en zich te verbergen voor monitoring, wat snelle identificatie en inperking door beveiligingsteams bemoeilijkt. Een ander kenmerk: Het maakt gebruik van ‘double-extortion‘ door data te stelen en dreigen deze te lekken als er niet betaald wordt. Dit verhoogt de druk om te betalen op slachtoffers door mogelijke reputatieschade en juridische consequenties.
De aanvallers achter LockBit opereren vaak via een ‘Ransomware-as-a-Service’ (RaaS) model, waarbij ze hun ransomware-infrastructuur verhuren aan andere cybercriminelen. Dit maakt het gemakkelijker voor minder technisch onderlegde aanvallers om ransomware-campagnes uit te voeren, wat bijdraagt aan de verspreiding en het gevaar van LockBit.
Hoe werkt LockBit?
LockBit-ransomware wordt door experten gezien als een deel van de malwarefamilie “LockerGoga & MegaCortex”. Ze gedragen zich op dezelfde manier als deze bekende vorm van ransomware.
Ze hebben volgende kenmerken:
- Het verspreidt zichzelf binnen een organisatie en vereist geen handmatige acties;
- Doelgericht: het wordt niet lukraak verspreid zoals spam;
- Ze gebruiken vergelijkbare tools om zich te verspreiden zoals Windows Powershell en Server Message Block.
Het belangrijkste om te onthouden is dat deze aanvallen zichzelf verspreiden. Er is een geautomatiseerd proces vooraf geprogrammeerd.
Nadat de aanvaller één host handmatig heeft bereikt, kan het andere hosts makkelijk vinden en deze koppelen aan de geïnfecteerde host om zo de infectie te verspreiden.
LockBit-aanvallen ontvouwen zich in drie fasen:
- Uitbuiting: Eerst benutten ze netwerkzwaktes, vaak via phishing of brute force, om toegang te krijgen en bereiden het netwerk voor op malwareverspreiding.
- Infiltratie: Vervolgens infiltreert LockBit dieper om controle over het systeem te verkrijgen, waarbij het beveiligingsmechanismen uitschakelt en zich klaarmaakt voor de aanval
- Implementatie: In de laatste fase wordt de encryptiemalware verspreid, waardoor bestanden worden vergrendeld tot een losgeld wordt betaald. Hoewel slachtoffers worden aangemoedigd om losgeld te betalen, is er geen garantie op bestandsherstel.
Hoe pakken wij ransomware aan?
Bij VanRoey erkennen we dat het hebben van de juiste tools slechts het begin is. Een effectieve verdediging tegen ransomware als LockBit vereist enerzijds een diepgaand begrip van de dreiging en de achterliggende techniek, anderzijds een gelaagde beveiligingsaanpak die verder gaat dan traditionele methoden.
Onze aanpak omvat constante monitoring, snelle incidentrespons, en voortdurende afstemming van beveiligingsmaatregelen op het zich ontwikkelende dreigingslandschap. Daarnaast geloven we sterk in het belang van Security Awareness, aangezien menselijke fouten vaak een kritieke rol spelen in succesvolle cyberaanvallen.
Met onze Zero Trust-strategie versterken we de eerste verdedigingslinie tegen aanvallen zoals LockBit, maar de belangrijkste factor is Managed Detection & Response (MDR). Hiermee wordt een daadwerkelijke infectie, zelfs bij een ongekende zero-day, onmiddellijk en dankzij artificiële intelligentie in de kiem gesmoord.
Bescherm jezelf tegen malware als Lockbit, samen met VanRoey
Benieuwd hoe wij bij duizenden organisaties een ijzersterke IT-security puzzel leggen om hen tegen (o.a.) ransomware te beschermen?
Spreek ons gerust aan en we tonen je graag hoe en waarom onze tools zo effectief werken. Ook kan je op ons rekenen voor een grondige IT Security Audit, zodat je perfect weet hoe kwetsbaar je omgeving vandaag is… Ook krijg je in een uitgebreid rapport te lezen welke concrete stappen je kan ondernemen om de beveiliging te verbeteren.
btw nr.*
