LockBit是一種惡意軟體,因其使用.abcd後綴標記加密貨幣檔案而引起關注。該軟體在功能和營運模式上不斷發展,甚至設置了用於公開受害者數據的站點,以實現「雙重勒索」。該軟體不斷升級,使用先進的加密貨幣演算法針對Windows系統進行加密,並透過暗網要求受害者支付贖金。其攻擊規模非常龐大,已經影響全球850家企業機構的影響。在2022年11月,一名涉嫌參與LockBit勒索軟體的嫌疑犯被美國司法部指控,並正在等待引渡到美國。該軟體的核心節點被執法部門查封,但同時也傳出主謀並沒有被抓到的消息。罪犯主動破壞了合法的數據訊息,網路公司必須加強加密貨幣方面的防護和升級防禦措施。
作者:23pds@SlowMist
團隊背景
2019年9月,LockBit勒索病毒首次正式亮相,其因使用後綴名.abcd來標記已加密的受害者文件,被稱為“ABCD”勒索軟體。早期版本LockBit 1.0非常不成熟,作案過程中加密貨幣軟體不僅使用固定的互斥鎖,甚至會殘留一些易被殺毒軟體、沙箱等安全軟體識別和攔截的調試函數。
隨著組織規模的不斷發展,LockBit 1.0開始採用RaaS(勒索軟體即服務及服務)模式運營,即開發並分發行為勒索軟體工具供其他惡意者使用,並在一個著名的虛擬論壇XSS上指導合作計劃進行推廣。
八個月後,LockBit 1.0勒索軟體業者升級了勒索策略,創建了一個用於公開受害者資料的站點,對檔案進行加密,試圖進一步施壓受害者,以期實現「雙重勒索」的目的。
經過幾次小升級後,目前針對其他勒索軟體,LockBit 1.0 方案手段更加超。針對Windows 系統的加密貨幣流程採用RSA + AES 演算法加密貨幣文件,使用IOCP 完成連接埠+ AES-NI 指令集提升工作效率,從而實現高效能加密貨幣流程,一旦成功加密貨幣文件,所有受害者的文件都會被加入無法破解的.abcd擴充後綴。
LockBit 勒索軟體1.0 時期,主要透過修改受害者係統桌面桌布來顯示勒索訊息,並留下名為Restore-My-Files.txt 的勒索信,要求受害者登入暗網,用比特幣或門羅幣結算贖金。
後來這個團夥因多起引人注目的攻擊而出名。例如,在2022年6月,他們推出了LockBit 3.0版本,並包含了一個漏洞賞金計劃,邀請安全研究人員測試並改進他們的軟體。發現系統漏洞提供獎勵,這在勒索軟體中是一個獨特的做法。
自上線以來,LockBit在網路安全方面產生了顯著影響,其攻擊通常導致受害方的敏感資料被盜和財務損失。
「輝煌」歷史
截至2022年5月份之前,LockBit幾乎是一騎絕塵,在全球範圍內打穿超過850家企業機構的防禦系統,佔同時間段內所有勒索軟體相關攻擊事件的46%。
RaaS代理模式:
攻擊方式:
根據網路安全公司Dragos 的數據,2022 年第二季針對工業系統的勒索軟體攻擊中,這三分之一是由LockBit 發起的,對工控領域內的大型企業造成了巨大的打擊。 Instinct 發布的報告指出,在2022 年發光,LockBit 發起的勒索攻擊約佔總攻擊數的44%。
短短三年,LockBit 勒索軟體團伙的受害者數量已高達一千多個,是老牌勒索軟體組織Conti 的2 倍,更是Revil 的5 倍有餘。
值得一提的是,LockBit 勒索組織的贖金獲得率也隨之上漲。就2022 年的數據來看,其提出的1 億美元的贖金需求中,勒索成功率超過一半,令無數企業聞風喪膽。
現狀
同時,該團夥引起了全球執法機構的關注。 2022年11月,美國司法部(DoJ)指控擁有俄羅斯和加拿大雙重國籍的米哈伊爾·瓦西里耶夫(Mikhail Vasiliev)涉嫌參與LockBit勒索軟體該男子目前在加拿大被拘留,正在等待引渡到美國。
5月,俄羅斯國民米哈伊爾·帕夫洛維奇·馬特維耶夫(30歲),又名Wazawaka、m1x、Boriselcin和Uhodiransomwar,被美國司法部指控涉及多次勒索軟體攻擊。
美國司法部公佈了兩份起訴書,指控男子使用不同的勒索軟體對美國各地受害者受害者進行攻擊,包括華盛頓特區和新澤西州的執法機構,以及全國醫療保健和其他部門的組織:
2020年6月25日前後,Matveev及其LockBit同謀攻擊了新澤西州帕塞克縣的一家執法機構;2021年4月26日,馬特維耶夫及其巴布克同謀攻擊了華盛頓特區的大都會警察局;2022年5月27日後,Matveev和其 Hive聯手攻擊了新澤西州的一個非營利行為保健組織。 2024年2月19日,臭名昭著的勒索團夥LockBit網站在英國國家犯罪局、美國聯邦調查局、歐洲刑警組織和國際警察機構聯盟的聯合執法行動中被查封:
treasury.gov 公佈的相關制裁資訊涉及人員資訊、BTC 和ETH 地址等:
我們使用MistTrack 看下被制裁的資金ETH 地址(0xf3701f445b6bdafedbca97d1e477357839e4120d) 的情況:
分析發現,該ETH地址上的資金已洗完。
同時,我們分析被判定的BTC地址的情況,發現這幾個地址中最早的交易可能最早在2019年10月,最近的交易可能最早在2023年3月,且地址上的相關資金均已被轉移。
其中,接收金額最大的地址為18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5,該地址為LockBit關聯公司Artur Sungatov的地址,被MistTrack標記為幣安Deposit地址,且資金已被轉移。
其次,位址32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM 接收金額52.7892 BTC,該位址為LockBit 關聯公司Ivan Kondratyev 的位址,被MistTrack 標記為Kucoin Deposit 位址,且該位址收到了另一個被處理位址.4323 比特幣。
美國政府聯合英國和歐洲刑警組織公佈了有關LockBit勒索軟體組織的更多信息,他們還確認LockBit擁有193個家庭光纖:
被抓謎團
據英國國家犯罪局先前稱,LockBit 的服務已經中斷,這是一項持續發展中的行動。這項行動是執法機構與勒索團夥之間多年鬥爭的最新舉措,對LockBit 的近期跨國勒索運營造成影響強力打擊,也對大規模的勒索攻擊形成有效的威懾。
我們查看LockBit 的節點,已知的每個LockBit 勒索軟體組織網站或離線,或顯示被EUROPOL 查封的頁面。執法部門已查封或查找了至少22 個Tor 站點,這被稱為“克羅諾斯行動” ”。
此後,LockBit勒索軟體集團管理人員向媒體確認他們的網站已被查封:
但是,似乎這次查封並沒有影響到LockBit 核心人員,另外LockBit 勒索軟體組織向Tox 上的個人發布了一則訊息:“FBI 搞砸了使用PHP 的伺服器,沒有PHP 的備用伺服器沒有受到影響。”
今天發生了問題,LockBit 領導聲明:我們就執法部門宣佈於2024 年2 月23 日星期五公佈LockBit 領導層的領導層與LockBit 勒索軟體組織的管理人員進行了交談。
LockBit 回覆:「讓他們確認吧,我相信他們不知道我的身分。」首先,LockBit 勒索軟體組將名字改為“FBI Supp”,用來嘲諷執法機構:
根據@vxunderground消息,現在看來最終的主謀似乎並沒有被抓,甚至獲得LockBit公開懸賞更大的金額來讓大眾尋找自己。
到這裡的故事越來越精彩,執法機構聲稱未來幾天會發布更多LockBit 組織資訊。
後續如何?我們拭目以待。
總結
這項打擊行動是針對勒索軟體集團的一系列執法行動中最新的一環。去年底,美國聯邦調查局和其他機構已經成功摧毀了Qakbot、Ragnar Locker等多個勒索軟體團伙的網路和基礎設施。
在近日舉行的慕尼黑網路安全會議上,美國司法部副部長強調了美國對抗勒索軟體和網路犯罪的決心,提出將採取更快速、主動的策略,以預防和打擊這些犯罪活動為重點。
隨著數位科技的發展,依賴加密的網路犯罪已經成為全球性的重大挑戰。勒索軟體等網路犯罪不僅對個人和企業造成損失,而且對整個社會構成了嚴重的風險。根據統計,去年網路犯罪者向全球受害者勒索超過11億美元。
另外,勒索軟體治理是網路攻擊者和安全人員雙方的數量較多,需要耐心、策略、時機。
以LockBit勒索軟體為例,其不斷迭代更新每個版本的攻擊方式、策略、攻擊點等,這使得安全人員難以形成修復的修復體系。因此,在勒索軟體治理過程中,預防修復比修復更重要的是,要採取系統化、綜合施策、系統治理、多方聯合的方式,形成預防勒索軟體的圍牆,強烈建議大家做好以下防護措施:
關閉使用複雜密碼:企業內部在設定伺服器或內部系統密碼時,應採用複雜的登入規則,例如必須包含數字、大小寫字母、特殊符號,長度至少為8位的密碼,並定期更換口令。雙重驗證:針對企業內部敏感訊息,需要基於密碼的登入基礎上,增加其他層防禦以阻止駭客攻擊,例如在部分敏感系統上安裝指紋、虹膜等生物識別驗證或使用物理USB鑰匙身份驗證器等措施。四不要:不要點擊來源不明郵件;不要瀏覽教育、博彩等不良信息網站;不要安裝不明來源軟體,精品安裝陌生人發送的軟體;不要無意將來歷不明的U盤、移動硬碟、抽屜卡等移動存儲設備插入設備。資料備份備份保護:防止資料遺失的真正永遠是離線備份,因此,對關鍵資料和業務系統做好備份十分必要。注意,備份要註明,標記每個階段的備份,確保在某些備份受到不良軟體感染時能夠及時找回。要經常防毒、關連接埠:安裝防毒軟體並定期更新病毒庫,定期全盤防毒;關閉不需要的服務和連接埠(包括不需要的遠端存取服務3389連接埠、22等連接埠和不需要的135、139、445 )區域共享連接埠等)。強化員工安全意識:安全生產最大的疑似人員,釣魚、社工、投毒、弱密碼等,這些關鍵人物都與人員的安全意識息息相關,因此要切實抓好整體的安全膠原和防禦能力提升,重點是切實提升人員的安全意識。及時給辦公終端和伺服器打補丁:對網路以及第三方應用及時打補丁,防止攻擊者通過漏洞入侵系統。
致謝:WuBlockchain、@vxunderground、希潭實驗室、雲鼎實驗室
參考
[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
[4] https://ofac.treasury.gov/recent-actions/20240220
資訊來源:0x資訊編譯自網際網路。版權歸作者慢霧科技所有,未經許可,不得轉載