Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Alertă Cibernetică: Ransomware-ul LockBit Revine Cu Varianta 5.0 'ChuongDong'

Alertă Cibernetică: Ransomware-ul LockBit Revine Cu Varianta 5.0 'ChuongDong'

-

Rating: 0.0 (0 voturi)
Noutăți 27.10.2025

În ciuda întreruperii temporare survenite la începutul anului 2024 ca urmare a Operațiunii Cronos, activitatea de ransomware LockBit a reușit să își refacă infrastructura, reintrând pe scena amenințărilor cibernetice ca o amenințare majoră și persistentă.

Administratorul grupului, LockBitSupp, a finalizat reconstrucția acesteia și a lansat varianta LockBit 5.0, denumită 'ChuongDong', care demonstrează o sofisticare tehnică sporită și o acoperire extinsă pe multiple platforme.

Pe parcursul lunii septembrie 2025, operațiunea relansată a reușit să compromită o duzină de organizații din Europa de Vest, America și Asia. Aproximativ 80% din aceste incidente au vizat mediile Windows, restul de 20% fiind distribuite între sistemele ESXi și Linux.

LockBit 5.0 aduce îmbunătățiri tehnice semnificative, incluzând suport multi-platformă și rutine de criptare optimizate pentru a reduce timpul de reacție al echipei de apărare. De asemenea, utilizează funcții anti-analiză pentru a evita detecția și investigațiile de securitate, menționând explicit "LockBit 5.0" în notele de răscumpărare personalizate.


Sfaturi de Protectie


1. Actualizați imediat sistemul de operare și aplicațiile critice (Patch Management).

Pasul 1: Windows: Settings -> Update & Security -> Windows Update. Linux: Software Updater / Terminal (apt/yum update). ESXi: Host Client -> Manage -> Updates.

Pasul 2: Căutați și instalați toate patch-urile de securitate disponibile, în special cele critice.



2. Implementați segmentarea rețelei pentru a izola sistemele ESXi/Linux.

Pasul 1:Configurați Router/Switch Settings -> VLAN Configuration pentru servere și stațiile de lucru.

Pasul 2: Aplicați reguli de firewall (Firewall Rules -> Deny User Net <-> Virtualization Net) pentru a restricționa comunicarea directă între rețeaua de utilizatori (Windows) și mediul de virtualizare (ESXi/Linux).



3. Utilizați un sistem de backup 3-2-1 (3 copii, 2 medii diferite, 1 offsite).

Pasul 1: Configurați o soluție de backup care stochează datele pe un mediu extern (Software Backup Settings -> External/NAS/Cloud).

Pasul 2: Asigurați-vă că o copie de rezervă este stocată offline (air-gapped) sau în cloud, protejată de Autentificare Multi-Factor (MFA).



4. Restricționați accesul la instrumentele critice de administrare (de ex. PowerShell, SSH).

Pasul 1: Utilizați Principiul Privilegiului Minim (PoLP) (Active Directory/Local User Management) pentru toți utilizatorii.

Pasul 2: Dezactivați sau restricționați utilizarea shell-urilor și a protocolului RDP/SSH prin Firewall/VPN Policy în afara rețelei interne securizate (sau folosiți VPN).



5. Activați și configurați funcțiile anti-ransomware în soluția dvs. EDR/Antivirus.

Pasul 1: Pasul 1: Consolă Centrală EDR/AV -> Raport de Inventar/Acoperire sau similar -> Verifică toți agenții (inclusiv ESXi/Linux) ca fiind Activ și La Zi.

Pasul 2: Politici de Securitate/Prevenție -> Setări Module sau similar -> Activează Detecție Comportamentală/Heuristică pe modul Blocare.

Pasul 3: Secțiune Ransomware/Remediere -> Opțiuni -> Activează Protecție Rollback/Restaurare Automatã.

Pasul 4: Răspuns la Incidente/Automatizări -> Criteriu Activitate Criptare sau similar -> Acțiune Izolare Rețea (Network Containment).



6. Monitorizați și restricționați accesul la folderele critice (Honeypots sau File Auditing).

Pasul 1: Implementați reguli de File Auditing (File Server -> Security -> Advanced Auditing) pe servere pentru a detecta activitatea neobișnuită (ex: crearea rapidă de fișiere criptate).

Pasul 2: Setați Alerte Imediate pentru modificările de permisiuni sau acces la volumele de rețea.



7. Dezactivează Macro Office - Metodă Livrare Sarcina Utilă

Pasul 1: În Trust Center Settings (Microsoft Office), alegeți opțiunea "Disable all macros with notification". Office (Word/Excel/PowerPoint) -> File -> Options -> Trust Center -> Trust Center Settings -> Macro Settings

Pasul 2: Instruiți utilizatorii să nu activeze conținutul activ din surse necunoscute.



8. Utilizați un software de securitate dedicat pentru mediile de virtualizare (ESXi).

Pasul 1: Instalați și mențineți actualizată o soluție de securitate specializată care se integrează direct cu VMware.

Pasul 2: Implementați inspecția traficului de rețea între mașinile virtuale (VM-uri).



9. Implementați autentificarea multi-factor (MFA) pe toate conturile esențiale.

Pasul 1: Pentru a activa MFA, va trebui să accesați Centrul de Administrare (Admin Center) sau Portalul de Securitate al serviciului respectiv.

  • E-mail și Servicii Cloud (ex: Microsoft 365, Google Workspace) -> Navigați la secțiunea Security Policies, Conditional Access sau Identity/User Management -> Impuneți activarea MFA pentru toți utilizatorii, în special pentru cei cu drepturi de Admin Consoles.
  • Acces VPN (ex: Cisco, Fortinet): Intrați în VPN Server Console sau în setările Authentication Profiles -> Configurați sistemul VPN să se lege la un server de identitate extern (ex: Azure AD, Okta) care suportă și impune MFA.
  • Conturile de Administrare a Sistemelor: În Active Directory/Identity Provider, aplicați politici care solicită MFA ori de câte ori se încearcă logarea la servere critice (RDP, SSH) sau la consolele de management (VMware vCenter, firewall-uri).

Pasul 2: Utilizați Aplicații de Autentificare (NU SMS)

Asigurați-vă că metoda de verificare MFA aleasă este una sigură, evitând SMS-ul din cauza riscului de SIM-Swapping.

  • Metoda Recomandată (Aplicații TOTP): Utilizați aplicații precum Google Authenticator, Microsoft Authenticator sau Authy -> La prima configurare a MFA pe contul dvs. individual, sistemul vă va cere să scanați un cod QR pentru a genera coduri temporare.
  • Cea Mai Sigură Metodă: Cheile Fizice de Securitate (FIDO2/YubiKey), care se înregistrează în setările de securitate ale contului și oferă cea mai înaltă protecție împotriva atacurilor de tip phishing.


10. Organizați simulări de atac ransomware (simulare de phishing + exerciții de răspuns).

Pasul 1: Rulați o campanie de phishing simulată pentru a testa vigilența angajaților.

Pasul 2: Exersați planul de răspuns la incidente pentru a restabili sistemele dintr-un backup (verificând integritatea backup-ului).

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa