LockBit 勒索软件今年涉及的网络攻击比任何其他勒索软件都多,使其成为世界上最活跃的勒索软件。虽然每次勒索软件支付的平均赎金接近 100 万美元,但 LockBit 受害者平均支付的赎金约为 85,000 美元,这表明 LockBit 的目标是中小型组织。
LockBit 于 2019 年 9 月首次被观察到。此后,它不断发展:LockBit 2.0 于 2021 年出现;当前版本 LockBit 3.0于 2022 年 6 月发现。
LockBit 主要通过购买访问权限、未修补的漏洞、内部访问和零日漏洞来寻求对目标网络的初始访问。“第二阶段”LockBit 建立对受害者系统的控制、收集网络信息并实现窃取和加密数据等主要目标。
LockBit 攻击通常采用双重勒索策略,鼓励受害者首先付费以重新获得对其加密文件的访问权限,然后再次付费以防止其被盗数据被公开发布。当用作勒索软件即服务 (RaaS) 时,初始访问代理 (IAB) 会部署第一阶段恶意软件或以其他方式获取目标组织基础设施内的访问权限。然后,他们将该访问权限出售给主要的 LockBit 运营商以进行第二阶段的利用。
如果您遇到此类事件,欢迎添加VX(safe130)获取免费咨询帮助。
LockBit 2.0 主要通过购买访问权限、未修补的漏洞、内部访问和零日漏洞来寻求对目标网络的初始访问。在LockBit的RaaS模型中,主要运营团队通过暗网上的广告招募初始访问经纪人(IAB),以获取远程桌面协议(RDP)或虚拟专用网络(VPN)访问的被盗凭据。LockBit 小组还开发针对已知软件漏洞的漏洞,以利用未修补或配置错误的企业网络。
获得初始访问权限后,LockBit 2.0 恶意软件会下载适合目标环境的 C2 工具。LockBit 2.0 的第二阶段 C2 恶意软件使用标准渗透测试工具,例如 Cobalt Strike Beacon、MetaSploit 和 Mimikatz,以及自定义漏洞代码。与Conti一样 ,LockBit 2.0 可以使用类似蠕虫的功能在目标网络中传播。LockBit 2.0 恶意软件源代码也因保护自身免受安全研究人员的分析而臭名昭著。工具默认加密,只有在检测到合适的环境时才解密。
LockBit 2.0 IAB 部署一个名为“Stealbit”的应用程序,通过一组可定制的目标文件扩展名来攻击受害者的文件。将目标文件复制到攻击者控制的服务器后,LockBit 2.0 会在 Windows 注册表中将自身安装为自动启动进程,以保持持久性,以便在计算机重新启动时自动启动。LockBit 2.0 还尝试通过与其他主机的连接在网络中横向移动,以在其他计算机上部署勒索软件。
然后,恶意软件安装自定义图标文件,并使用一对 ECC (Curve25519) 会话密钥进行多线程加密,私钥使用存储在 Windows 注册表中的 ECC 公钥进行加密。LockBit 的早期版本附加了“.acbd”文件扩展名来区分勒索文件;较新的版本使用“.lockbit”扩展名。最后,LockBit 将桌面壁纸更改为签名 LockBit 勒索警告图像,并在每个受影响的目录中投放标题为“Restore-My-Files.txt”的勒索字条。
勒索软件攻击可以被阻止吗?
这是困难的。一旦攻击袭来,就很难阻挡。“最好的机会就是首先阻止攻击,”刘易斯说。清理工作通常涉及重建系统和网络。“如果您的网络上有勒索软件,除了从头开始重建系统之外,很难通过其他方式获得保证。”
LockBit 勒索软件的演变
LockBit 1.0
LockBit 最初被称为 ABCD,因为它在加密文件上留下了文件扩展名 .abcd。在其运营的第一年,该团伙的规模仍然相对较小,因为更知名的团伙受到了更多关注。
锁比特2.0
LockBit 2.0 依靠 Windows PowerShell 和 SMB 等工具来攻击组织、扫描网络以感染受感染的设备。该勒索软件主要使用内置的 Windows 工具(Living off the Land Binaries,或 LoLBins),使得检测恶意活动变得更加困难。
Lockbit 3.0
大约在2022 年 6 月,LockBit 运营商和附属公司开始转向 LockBit 3.0,也称为 LockBit Black,这是一种可以追溯到 BlackMatter和相关实体的变体。该版本为附属公司引入了新的管理功能,并除了门罗币和比特币之外还添加了用于受害者付款的 Zcash。
LockBit病毒的案例和危害
美国和国际网络安全当局在 LockBit 联合勒索软件通报中表示,自 2020 年以来,该团伙对美国组织发起了约 1,700 次攻击,成功勒索了约 9100 万美元。
美国当局及其在澳大利亚、加拿大、英国的国际合作伙伴表示,这种勒索软件即服务 (RaaS) 操作是 2022 年全球主要的勒索软件威胁,其数据泄露网站上声称的受害者人数最多。德国、法国和新西兰。
根据 MS-ISAC 去年全年收到的报告,影响州、地方、部落和法庭 (SLTT) 政府的勒索软件事件中约有 16% 是 LockBit 攻击。
2022 年,LockBit 成为全球最重要的勒索软件组织和勒索软件即服务 (RaaS) 提供商。与传统勒索软件组织不同的是,LockBit 的独特方法包括维护勒索软件的功能、出租对其的访问权限以及协助附属机构部署攻击。
该模型使 LockBit 能够培养广泛的攻击者网络,从而在勒索软件事件期间采用多种策略、技术和程序。采用 LockBit RaaS 模式的附属机构已将目标锁定在金融、教育、医疗保健和政府等各个领域的实体,没有哪个行业能够幸免于其恶意控制。
然而,在 DiMaggio 揭露该团伙发生的一系列事件之后,Lockbit 作为勒索软件组织的声誉受到了严重打击。今年早些时候,他们成功入侵并危害了英国最大的邮政服务提供商皇家邮政和Maximum Industries。
如何防范 LockBit 勒索软件
防止成功的 LockBit 2.0 攻击需要有效的网络安全并维护有效的备份策略,其中包括加密的离线和异地备份。
为了降低 LockBit 漏洞的风险,请通过强大的密码策略和多因素身份验证实施强大的访问控制,维护漏洞管理计划以确保在发布安全更新时应用安全更新,并使用分段的关键资源构建内部网络。此外,在Windows操作系统中启用“受保护的文件”,以确保LockBit无法更改关键的系统文件。
