LockBit 勒索软件

什么是 LockBit 勒索软件?

与其他任何勒索软件相比,LockBit 勒索软件今年卷入了更多的网络攻击,成为全球最活跃的勒索软件。虽然每次勒索软件事件的平均支付金额接近 100 万美元,但 LockBit 受害者平均支付的赎金约为 8.5 万美元,这表明 LockBit 的目标是中小型组织。 

LockBit 于 2019 年 9 月首次被观测到。此后,它不断演变:LockBit 2.0 于 2021 年出现;LockBit 3.0,即当前版本,于 2022 年 6 月发现

LockBit 主要通過購買的訪問、未修補的漏洞、內部訪問和零時差攻擊來尋求對目標網絡的初始訪問。"第二階段 "LockBit 會建立對受害者系統的控制,收集網絡資訊,並實現竊取和加密數據等主要目標。

LockBit 攻击通常采用双重勒索策略,鼓励受害者先付款以重新访问加密文件,然后再付款以防止被盗数据被公开发布。当作为勒索软件即服务(RaaS)使用时,初始访问代理(IAB)会部署第一阶段恶意软件或以其他方式获取目标组织基础设施的访问权限。然后,他们将访问权限出售给主要 LockBit 操作员,进行第二阶段的利用。

锁定位

最新锁定新闻

谁是 LockBit 帮?

LockBit团伙自诩为勒索软件团伙中的 "罗宾汉"。虽然联邦调查局没有直接指证 LockBit 集团是俄罗斯人,但对 LockBit 的公开通信进行的评估表明,他们起源于俄罗斯,在全球各地都有分支机构。该组织提倡所谓的 "道德 "使用勒索软件,并声称他们不会针对医疗、教育、慈善或社会服务组织。

LockBit 帮派在洋葱路由器 (TOR) 网络上维护着一个黑暗网络门户,他们在此招募人才,并发布拒绝满足其要求的受害者的数据。LockBit 集团向受害者保证,支付赎金的人将会得到他们的数据;这是他们商业模式的一部分。

洛克比特勒索软件如何运行 (TT&P)

LockBit 2.0 主要通过购买访问权限、未修补漏洞、内部访问和零日漏洞利用来寻求对目标网络的初始访问权限。在 LockBit 的 RaaS 模式中,主要运营小组通过暗网上的广告招募初始访问经纪人 (IAB),以获取远程桌面协议 (RDP) 或虚拟专用网络 (VPN) 访问的被盗凭证。LockBit 小组还针对已知的软件漏洞开发漏洞利用程序,以利用未打补丁或配置错误的企业网络。 

获得初始访问权限后,LockBit 2.0 恶意软件会下载适合目标环境的 C2 工具。LockBit 2.0 的第二阶段 C2 恶意软件使用 Cobalt Strike Beacon、MetaSploit 和 Mimikatz 等标准渗透测试工具以及自定义漏洞利用代码。与Conti 一样,LockBit 2.0 也可以使用蠕虫式功能在目标网络内传播。LockBit 2.0 恶意软件源代码还以保护自身免受安全研究人员分析而臭名昭著;工具默认情况下是加密的,只有在检测到合适的环境时才会解密。

LockBit 2.0 目标

LockBit 2.0 主要以 Windows 系统为目标,但一些较新的变种已被修改为可攻击基于 Linux 的数据中心虚拟化环境,包括 VMWare ESXi 虚拟机。该恶意软件旨在攻击美国、加拿大、欧洲、亚洲和拉丁美洲的受害者。LockBit 2.0 不理会独立国家联合体和大多数东欧国家的系统,但乌克兰是个明显的例外。 

LockBit 通常以中型企业为目标。这可能是由于 LockBit 独特的 RaaS 模式,使心怀不满的内部人员很容易充当 IAB、设定价格并直接收取赎金。

LockBit 2.0 攻击的样子

LockBit 2.0 IAB 部署了一个名为 "Stealbit "的应用程序,利用一组可定制的目标文件扩展名攻击受害者的文件。目标文件被复制到攻击者控制的服务器后,LockBit 2.0 会将自身安装到 Windows 注册表中,作为自动启动程序来保持持久性,以便在计算机重新启动时自动启动。LockBit 2.0 还试图通过与其他主机的连接在网络中横向移动,以便在其他机器上部署勒索软件。

然后,恶意软件会安装一个自定义图标文件,并使用一对 ECC(Curve25519)会话密钥进行多线程加密,私钥与存储在 Windows 注册表中的 ECC 公钥一起加密。早期版本的 LockBit 添加了".acbd "文件扩展名,以区分赎回文件;新版本则使用".lockbit "扩展名。最后,LockBit 会将桌面墙纸更改为 LockBit 签名赎金警告图片,并在每个受影响的目录中投放名为 "Restore-My-Files.txt "的赎金说明。

如何防范 LockBit 勒索软件

要防止 LockBit 2.0 攻击成功,需要有效的网络安全和维护有效的备份策略,包括加密离线和异地备份。 

要降低 LockBit 遭受入侵的风险,请使用强大的密码策略和多因素身份验证来实施稳健的 访问控制,维护漏洞管理计划以确保在安全更新发布时对其进行应用,并构建具有关键 资源分段的内部网络。此外,在 Windows 操作系统中启用 "受保护文件",以确保 LockBit 无法更改关键系统文件。

CylanceOPTICS 防止锁定比特

CylanceOPTICS®利用人工智能(AI)提供设备上的威胁检测和修复,通过根源分析、智能威胁捕猎以及自动检测和响应功能来防止安全事件的发生。我们的端点检测和响应 (EDR) 方法可有效消除响应延迟。这可能是轻微安全事件与大范围失控事件之间的区别。
观看视频

相关资源:

资源图标 数据丢失防护(DLP) 资源图标 端点安全 资源图标 端点防护平台(EPP) 资源图标 端点检测和响应 (EDR) 资源图标 扩展检测和响应 (XDR) 资源图标 身份和访问管理(IAM) 资源图标 托管检测和响应 资源图标 托管 XDR 资源图标 MITRE ATT&CK 框架 资源图标 移动威胁防御(MTD) 资源图标 用户和实体行为分析 (UEBA) 资源图标 零信任架构 资源图标 零信任网络接入(ZTNA) 资源图标 零信任安全 资源图标 安全信息与事件管理(SIEM) 资源图标 安全接入服务边缘 (SASE)
更多资源