O ransomware LockBit é um software malicioso projetado para bloquear o acesso do usuário aos sistemas de computador em troca do pagamento de um resgate. O LockBit espalha a infecção automaticamente e criptografa todos os sistemas de computadores acessíveis em uma rede.
O mais significativo é sua capacidade de se auto propagar, o que significa que ele se espalha por conta própria. Em sua programação, o LockBit é direcionado por processos automatizados pré-projetados. Isso o torna diferente de muitos outros ataques de Ransomware que são acionados manualmente na rede.
Depois que o invasor infectou manualmente um único host, ele pode encontrar outros hosts acessíveis, conectá-los aos infectados e compartilhar a infecção usando um script. Isso é concluído e repetido inteiramente sem intervenção humana. Além disso, ele usa ferramentas em padrões que são nativos para quase todos os sistemas de computador Windows. Os sistemas de segurança de endpoints têm dificuldade em sinalizar atividades maliciosas. Ele também oculta o arquivo de criptografia executável, disfarçando-o como o formato de arquivo de imagem .PNG comum, enganando ainda mais as defesas do sistema.
Como se proteger contra o ransomware LockBit:
- Senhas fortes devem ser implementadas. Muitas violações de conta ocorrem devido a senhas fáceis de adivinhar ou que são simples o suficiente para uma ferramenta de algoritmo descobrir em poucos dias de sondagem. Certifique-se de escolher uma senha segura, como escolher senhas mais longas, com variações de caracteres e usar regras criadas por você para criar frases secretas.
- Ative a autenticação de vários fatores. Detenha ataques de força bruta adicionando camadas sobre seus logins iniciais baseados em senha. Inclua medidas como biometria ou autenticadores de chave USB físicos em todos os seus sistemas, quando possível.
- Reavalie e simplifique as permissões de conta de usuário. Limite as permissões a níveis mais estritos para impedir que potenciais ameaças passem sem ser impedidas. Preste atenção especial para aquelas acessadas por usuários de endpoint e contas de TI com permissões de nível de administrador. Domínios da Web, plataformas colaborativas, serviços de reunião na Web e bancos de dados corporativos devem ser protegidos.
- Limpe contas de usuário desatualizadas e não utilizadas. Alguns sistemas mais antigos podem ter contas de funcionários antigos que nunca foram desativadas e fechadas. A conclusão de uma verificação dos sistemas deve incluir a remoção desses pontos fracos em potencial.
- Certifique-se de que as configurações do sistema estejam seguindo todos os procedimentos de segurança. Isso pode levar algum tempo, mas rever as configurações existentes pode revelar novos problemas e políticas desatualizadas que colocam sua organização em risco de ataque. Os procedimentos de operação padrão devem ser reavaliados periodicamente para se manter atualizado contra novas ameaças cibernéticas.
- Sempre tenha backups de todo o sistema e imagens limpas da máquina local preparadas. Incidentes acontecerão, e a única proteção verdadeira contra a perda permanente de dados é uma cópia off-line. Periodicamente, sua organização deve criar backups para se manter atualizada com quaisquer mudanças importantes nos sistemas. No caso de um backup ficar contaminado por uma infecção por malware, considere ter vários pontos de backup rotativos para ter a opção de selecionar um período limpo.