For første gang ser det ut til at en løsepenge-programvare kalt LockBit kan brukes til å «kidnappe» nettsteder via Mac. LockBit er et antatt russisk foretak som tilbyr programvare som brukes til å blokkere nettsteder med krav om løsepenger.
Det er nyere Mac-er med Apples egenutviklede M1- og M2-prosessorbrikker som er i fare. Foreløpig ser ikke advarselen ut til å gjelde eldre Mac-er med Intel-prosessor.
LockBit ser ut til å seile opp som et av de mest vellykte kriminelle foretakene blant dem som blokkerer nettsteder og hindrer eiernes adgang til sine data hvis de ikke vil betale løsepenger.
Blant dem som skal ha blitt utsatt for angrep med LockBit-programvare, er det britiske postverket, Royal Mail, som nå er privateid, og det kanadiske barnesykehuset SickKids.
I oktober 2022 krevde LockBit-aktører hele 60 millioner dollar (over 634 millioner kroner) i løsepenger fra en britisk bilforhandlerkjede, som hadde fått datasystemet sitt «kidnappet» med LockBit-programvare, ifølge Wired.
Første angrep mot Apples OS
De første ryktene om at LockBit-programvare også kunne brukes mot Mac, dukket opp i november 2022. Men det er først nå, i april 2023, at MalwareHunterTeam, en gruppe sikkerhetsanalytikere, har varslet om et mulig konkret LockBit-angrep rettet mot Mac-er.
– Jeg tror dette er første gang en av de sentrale aktørene innen løsepenge-programvare har hatt til hensikt å ramme Apples operativsystem, sier sikkerhetsanalytiker Brett Callow i antivirus-selskapet Emsisoft. Til nå har LockBit-programvaren vært brukt i angrep mot Windows, Linux og virtuelle nettverksservere.
Kidnapping som en tjeneste
Det som skiller LockBit fra de fleste andre kriminelle miljøene som driver med ondsinnede angrep og kidnapping av nettsteder og datasystemer, er at LockBit-folkene ikke utfører angrepene selv. De bare tilbyr programvaren som kan brukes til slike angrep. Trolig mot en heftig andel av utbyttet.
Du kjenner kanskje forkortelsen SaaS, som står for Software-as-a-service? Eller «programvare som en tjeneste» på godt norsk. Et anerkjent og trygt system for å abonnere på programvare i stedet for å kjøpe lisens. Systemet, om enn ikke forkortelsen vi bruker i dag, har sine røtter helt tilbake til 1960-tallet, da IBM og andre stormaskin-leverandører begynte å levere datatjenester som en form for «time-sharing».
Vel, LockBit driver med noe lignende, som til og med har fått sin egen forkortelse: RaaS. Dette står for Ransome-as-a-service. Altså «løsepenger som en tjeneste».
Antatt russisk
Sikkerhetsanalytikere tror LockBit er en organisasjon som er bygd opp i Russland, ettersom de fleste medlemmene angivelig snakker russisk. Lederen for organisasjon skal imidlertid ha hintet om at han jobber med base i USA eller Kina, ifølge 9TO5Mac. Også Nederland har vært nevnt som en mulig base for LockBit.
Det amerikanske justisdepartementet omtalte i fjor LockBit-programvaren som en av de mest aktive og destruktive løsepenge-programvarene i hele verden, ifølge Engadget.
Løsepenge-programvaren fra LockBit dukket opp mot slutten av 2019 under navnet «ABCD ransomware», og amerikanske FBI begynte å etterforske gruppen i 2020. I 2022 advarte FBI om at LockBit-folkene bruker et bredt spekter av taktikker, teknikker og prosedyrer som det kan være vanskelig å beskytte seg mot.
Ved utgangen av 2022 hadde LockBit-programvaren rammet over 1.000 virksomheter, og LockBit-gjengens samarbeidspartnere skal ha krevd mange titalls millioner dollar fra ofrene.
– Dyktig leder
En av dem som har studert LockBit-kollektivet grundig, er sikkerhetsanalytiker Jon DiMaggio hos sikkerhetsfirmaet Analyst1. Ifølge Wired hevder han at suksessen skyldes at lederen for LockBit rett og slett er en dyktig forretningsperson.
– Han har ikke nødvendigvis spesielt gode lederegenskaper. Men han sørger for at løsepenge-programvaren oppdateres jevnt og trutt. LockBit-gruppen henter kontinuerlig inn erfaringer og synspunkter fra brukerne, de lytter til tilbakemeldingene og er på vakt mot rivaliserende gjenger. Sjefen for LockBit driver virksomheten som et profesjonelt forretningsforetak, noe som gjør systemet veldig attraktivt for kriminelle, sier DiMaggio.
LockBit-ledelsen investerer dessuten mye i å videreutvikle både teknologi og logistikk, noe som gjør løsningen stadig mer effektiv – og profitabel. LockBit versjon 2.0 så dagens lys i 2021, mens versjon 3.0 ble sluppet i juni 2022. Mer og mer avansert. Men hele tiden er målet at programvaren skal være enkel å bruke.
Dessuten eksperimenteres det med stadig nye metoder til å tvinge ofrene til å betale løsepenger. Man kan betale for å få de kidnappede dataene slettet – forutsett at man har god backup, naturligvis. Eller man kan betale for å få dem frigitt. Dessuten skal LockBit ha truet med å tilby kidnappede data til konkrete konkurrenter, noe som gir ekstra press på bedriftene som er rammet.
Hovedmålgruppen for LockBit er produksjonssystemer og industrielle kontrollsystemer.
Forslag til beskyttelse
Det er mange forslag der ut til hvordan en bedrift skal beskytte datasystemene sine mot løsepenge-angrep. Microsoft foreslår – kanskje litt overraskende – at tiltak for å stenge angriperne ute, bare er punkt 3 på listen.
Punkt 1 bør være en plan for hva som må gjøres hvis det verste allerede har skjedd, altså at man kan drive virksomheten videre uten å måtte betale løsepenger.
Punkt 2 er tiltak for å begrense skadene ved ekstra streng beskyttelse av kontoene til utvalgte personer som IT-administratorene og andre i sjefsposisjoner, noe som kan forsinke angriperne.
