Anda tiba di kantor, menghidupkan sistem Anda, dan panik set. Setiap file terkunci, dan setiap sistem dibekukan. Permintaan tebusan berkedip di layar Anda: “Bayar $ 2 juta dalam Bitcoin dalam waktu 48 jam atau kehilangan segalanya.”
Dan bagian terburuknya adalah bahwa bahkan setelah membayar, tidak ada jaminan Anda akan mendapatkan data Anda kembali. Banyak korban menyerahkan uang, hanya untuk tidak menerima imbalan apa pun, atau lebih buruk lagi, dipukul lagi.
Ini bukan kasus yang langka. Serangan ransomware adalah bisnis yang melumpuhkan di seluruh dunia, dari rumah sakit dan bank hingga perusahaan kecil. Satu -satunya cara untuk menghentikan kerusakan adalah dengan secara proaktif menganalisis file dan tautan yang mencurigakan sebelum dapat dieksekusi.
Di bawah, kami memecah tiga keluarga ransomware teratas yang aktif pada tahun 2025: Lockbit, Lynx, dan Virlock, dan mencari tahu bagaimana analisis interaktif membantu bisnis mendeteksi dan menghentikan mereka sebelum terlambat.
Lockbit: Menggoda comeback pada tahun 2025
Lockbit adalah salah satu kelompok ransomware yang paling terkenal, yang dikenal karena enkripsi yang sangat efisien, taktik pemerasan ganda, dan kemampuan untuk menghindari langkah -langkah keamanan tradisional. Beroperasi di bawah model ransomware-as-a-service (RAAS), memungkinkan afiliasi untuk mendistribusikan malware, yang mengarah pada serangan luas di berbagai industri.
Serangan dan aktivitas terbaru:
- Obat London (Mei 2024): Lockbit menargetkan pengecer Kanada London Drugs, memaksa penutupan semua lokasi di seluruh Kanada. Peretas menuntut $ 25 juta, membocorkan beberapa data karyawan setelah perusahaan menolak untuk membayar.
- Pusat Rumah Sakit Universitas, Zagreb (Juni 2024): Terganggu rumah sakit terbesar Kroasia, memaksa staf untuk kembali ke operasi manual sementara penyerang mengklaim memiliki catatan medis yang dieksfiltrasi.
- Evolve Bank & Trust (Juni 2024): Data keuangan sensitif yang dilanggar, dengan peretas secara keliru mengklaim memiliki informasi Federal Reserve. Serangan itu menimbulkan kekhawatiran karena hubungan Evolve dengan perusahaan fintech besar.
Sampel Lockbit:
Mari kita lihat lebih dekat sampel lockbit ransomware di dalam semua. Kotak pasir aman Run untuk menemukan perilaku utamanya.
Lihat sesi analisis
 |
| Ikon file diubah di dalam kotak pasir apa pun |
Di dalam kotak pasir interaktif, kami melihat hal pertama yang menonjol: ikon file berubah ke logo Lockbit. Ini adalah tanda langsung infeksi ransomware.
Buka taktik ransomware secara real-time dan mencegah pelanggaran mahal sebelum terjadi.
Coba apapun.Run gratis selama 14 hari
Ini diikuti oleh catatan tebusan di dalam kotak pasir, yang menyatakan bahwa file Anda telah dicuri dan dienkripsi. Pesannya jelas: Bayar tebusan, atau data akan dipublikasikan di situs web TOR.
 |
| Catatan tebusan ditampilkan di dalam lingkungan yang aman |
Di sisi kanan layar, kita melihat rincian terperinci dari setiap proses yang dijalankan Lockbit untuk menyerang sistem.
 |
| Proses pohon menunjukkan perilaku lockbit |
Dengan mengklik proses apa pun, tim keamanan dapat menganalisis taktik persis yang digunakan dalam serangan tersebut.
 |
| Rincian proses yang terperinci di dalam kotak pasir interaktif |
Jenis analisis ini penting bagi bisnis karena memungkinkan mereka untuk memahami bagaimana ransomware menyebar, mengidentifikasi titik -titik lemah dalam keamanan mereka, dan mengambil langkah proaktif untuk memblokir ancaman serupa sebelum menyebabkan kerusakan keuangan dan operasional.
Untuk rincian taktik serangan yang lebih mendalam, Anda juga dapat mengklik tombol ATT & CK di sudut kanan atas kotak pasir. Ini memberikan wawasan terperinci tentang setiap taktik, membantu tim menyempurnakan pertahanan mereka dan memperkuat strategi respons.
 |
| Taktik dan teknik MITER ATT & CK terdeteksi oleh any.run |
Dalam hal ini, kami melihat Lockbit menggunakan beberapa teknik berbahaya:
- Mendapatkan hak istimewa yang lebih tinggi dengan melewati kontrol keamanan.
- Mengekstrak kredensial tersimpan dari file dan browser web.
- Memindai sistem untuk mengumpulkan informasi sebelum mengenkripsi file.
- Mengenkripsi data untuk mengunci operasi bisnis yang kritis.
Peringatan serangan baru pada tahun 2025:
Terlepas dari tindakan penegakan hukum, Lockbit terus menimbulkan ancaman yang signifikan bagi tahun 2025. Pemimpin yang diduga kelompok itu, yang dikenal sebagai Lockbitsupp, telah memperingatkan serangan ransomware baru yang diluncurkan Februari ini. Ini berarti bisnis tidak mampu membiarkan penjagaan mereka turun.
Lynx: Meningkatnya ancaman terhadap bisnis kecil dan menengah
Lynx adalah kelompok ransomware yang relatif baru yang muncul pada pertengahan 2010 dan dengan cepat membangun reputasi untuk pendekatannya yang sangat agresif. Tidak seperti geng ransomware yang lebih besar yang berfokus pada raksasa perusahaan, Lynx sengaja mengejar bisnis kecil dan menengah di seluruh Amerika Utara dan Eropa, mengambil keuntungan dari langkah-langkah keamanan yang lebih lemah.
Strategi mereka bergantung pada pemerasan ganda. Mereka tidak hanya mengenkripsi file tetapi juga mengancam akan membocorkan data curian di situs web publik dan forum web gelap jika korban menolak untuk membayar. Ini memaksa bisnis menjadi pilihan yang mustahil: bayar tebusan atau berisiko memiliki data rahasia, detail keuangan, dan catatan pelanggan yang diekspos secara online.
Serangan Lynx Terbaru:
Pada pertengahan Januari 2025, Lynx menargetkan Lowe Engineers, sebuah perusahaan teknik sipil terkemuka yang berbasis di Atlanta, Georgia. Serangan itu menyebabkan eksfiltrasi data sensitif, termasuk informasi proyek rahasia dan rincian klien. Mengingat keterlibatan perusahaan dalam proyek infrastruktur kritis, pelanggaran ini menimbulkan kekhawatiran signifikan tentang dampak potensial pada kontrak federal dan kota.
Sampel Lynx:
Berkat kotak pasir interaktif apa saja, kita dapat menganalisis rantai serangan penuh ransomware lynx di lingkungan virtual yang terkontrol, tanpa mempertaruhkan sistem nyata.
Lihat Analisis Kotak Pasir Lynx
Saat kami mengunggah dan meluncurkan file yang dapat dieksekusi yang berbahaya di kotak pasir berbasis cloud apa pun, ransomware segera mulai mengenkripsi file dan mengubah ekstensi mereka menjadi .lynx.
 |
| Tab Modifikasi File memberikan perubahan aktivitas sistem file |
Tak lama setelah itu, catatan tebusan muncul, dan wallpaper desktop diganti dengan pesan pemerasan yang mengarahkan korban ke situs Tor, di mana penyerang menuntut pembayaran.
 |
| Lynx ransomware mengubah wallpaper di dalam apa saja.run Sandbox |
Di dalam kotak pasir any.run, kita dapat secara manual membuka readme.txt yang dijatuhkan oleh Lynx untuk melihat pesan tebusan persis seperti korban.
 |
| Catatan tebusan termasuk tautan .onion yang mengarahkan korban ke portal komunikasi penyerang |
Di bagian Mitre ATT & CK, kami mendapatkan rincian yang jelas tentang taktik dan teknik Lynx, mengungkapkan bagaimana ia beroperasi:
 |
| Taktik dan teknik MITER ATT & CK yang digunakan oleh Lynx Ransomware |
- Mengenkripsi file untuk mengunci data bisnis yang kritis.
- Mengganti nama file untuk meniru strain ransomware lainnya.
- Meminta registri untuk memindai rincian sistem dan perangkat lunak keamanan.
- Membaca informasi CPU untuk menilai lingkungan target.
- Memeriksa kebijakan perangkat lunak untuk menentukan pengaturan keamanan sebelum melanjutkan.
Virlock: Ransomware yang mereplikasi diri yang tidak akan mati
Virlock adalah strain ransomware unik yang pertama kali muncul pada tahun 2014. Tidak seperti ransomware khas, Virlock tidak hanya mengenkripsi file tetapi juga menginfeksi mereka, mengubah masing -masing menjadi infektor file polimorfik. Kemampuan ganda ini memungkinkannya untuk menyebar dengan cepat, terutama melalui platform penyimpanan cloud dan kolaborasi.
Serangan Terbaru:
Dalam analisis terbaru, Virlock telah diamati menyebar secara diam -diam melalui aplikasi penyimpanan cloud dan kolaborasi. Ketika sistem pengguna terinfeksi, Virlock mengenkripsi dan menginfeksi file, yang kemudian disinkronkan ke lingkungan cloud bersama.
Kolaborator yang mengakses file -file bersama ini secara tidak sengaja menjalankan file yang terinfeksi, yang mengarah ke penyebaran lebih lanjut dalam organisasi.
Sampel Virlock:
Mari kita analisis perilaku Virlock menggunakan sampel real-time di dalam apa pun. Kotak pasir Run.
Lihat Analisis Kotak Pasir Virlock
 |
| Virlock ransomware di dalam vm |
Sama seperti Lockbit dan Lynx, Virlock menjatuhkan uang tebusan setelah dieksekusi. Namun, kali ini, ia menuntut pembayaran dalam bitcoin, taktik umum di antara operator ransomware.
Dalam sampel khusus ini, Virlock meminta setara dengan $ 250 di Bitcoin, mengancam untuk menghapus file secara permanen jika tebusan tidak dibayar.
Menariknya, uang tebusan tidak hanya menuntut pembayaran. Ini juga termasuk panduan tentang Bitcoin, menjelaskan apa itu dan bagaimana para korban dapat memperolehnya untuk pembayaran.
 |
| Catatan tebusan menuntut bitcoin yang ditinggalkan oleh Virlock |
Selama eksekusi, any.Run mendeteksi beberapa kegiatan jahat, mengungkapkan bagaimana Virlock beroperasi:
 |
| Perilaku ransomware virlock dianalisis dengan kotak pasir interaktif |
- Mutex khusus virlock diidentifikasi, membantu malware memastikan hanya satu contoh berjalan pada satu waktu untuk menghindari gangguan.
- Virlock menjalankan perintah melalui file batch (.bat), meluncurkan cmd.exe untuk melakukan tindakan jahat.
- Ransomware memodifikasi Registry Windows menggunakan REG/Regedit.exe, kemungkinan akan membangun persistensi atau menonaktifkan fitur keamanan.
Setiap sesi kotak pasir di any.Run secara otomatis menghasilkan laporan terperinci yang dapat dengan mudah dibagikan di dalam perusahaan. Laporan -laporan ini diformat untuk analisis lebih lanjut, membantu tim keamanan berkolaborasi dan mengembangkan strategi yang efektif untuk memerangi ancaman ransomware pada tahun 2025.
 |
| Laporan yang dihasilkan oleh Any.Run Sandbox |
Ransomware pada tahun 2025: ancaman yang berkembang yang dapat Anda hentikan
Ransomware lebih agresif dari sebelumnya, mengganggu bisnis, mencuri data, dan menuntut jutaan uang tebusan. Biaya serangan termasuk operasi yang hilang, reputasi yang rusak, dan kepercayaan pelanggan yang dicuri.
Anda dapat menghentikan ransomware sebelum mengunci Anda. Dengan menganalisis file yang mencurigakan di kotak pasir interaktif apa saja, Anda mendapatkan wawasan real-time tentang perilaku malware, tanpa mempertaruhkan sistem Anda.
Cobalah apa pun. Gratis selama 14 hari untuk secara proaktif mengidentifikasi ancaman dunia maya untuk bisnis Anda sebelum terlambat!
