De LockBit-ransomware, die onder ander de Nederlandse defensie- en politieleverancier Abiom en de Brabantse logistiek dienstverlener Van der Helm Logistics infecteerde, alsmede consultancybedrijf Accenture, besmet geen systemen met een Oost-Europese taalinstelling, zo stelt de FBI in een nieuw document (pdf).

LockBit 2.0 wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het document geeft de FBI geen informatie over de gebruikte aanvalsvectoren.

Eenmaal actief probeert Lockbit eerst beheerdersrechten te verkrijgen. Dan kijkt de ransomware naar de ingestelde systeem- en taalinstellingen. "Als een Oost-Europese taal wordt gedetecteerd stopt het programma zonder infectie", zo laat de Amerikaanse opsporingsdienst weten. Wordt er een andere taal gedetecteerd, dan start de besmetting en verwijdert Lockbit logbestanden en shadow kopieën op de schijf en zoekt het onder andere remote shares en externe schijven om die te versleutelen.

Om infectie te voorkomen adviseert de FBI het gebruik van sterke wachtwoorden en multifactorauthenticatie, het verwijderen van onnodige administrative shares, het up-to-date houden van systemen, het gebruik van een host-based firewall en het inschakelen van protected files in Windows om aanpassingen aan essentiële bestanden te voorkomen. Ook wordt aangeraden command-line en scriptingactiviteiten en -permissies uit te schakelen.