来源不明的软件;不要随意打开不明链接。
慢雾:全球头号勒索团伙 LockBit 谜案
原创 慢雾安全团队 慢雾科技 By: 23pds@SlowMist
团队背景
2019年9月,LockBit勒索病毒首次正式亮相,因其使用后缀名 .abcd 来标记已加密的受害者文件,被称为“ABCD”勒索软件。早期版本LockBit 1.0非常不成熟,作案过程中加密软件不仅使用固定的互斥锁,甚至会残留一些易被杀毒软件、沙箱等安全软件识别和拦截的 debug 函数。随着组织规模不断发展,LockBit 1.0开始采用RaaS(Ransomware-as-a-service勒索软件及服务)模式运营,即开发并分发勒索软件工具供其他恶意行为者使用,并在一个著名的俄语论坛XSS上为其合作计划进行推广。
八个月后,LockBit 1.0勒索软件运营商又升级了勒索策略,创建了一个用于公开受害者数据的站点,配合文件加密,试图进一步施压受害者,以期达成“双重勒索”的目的。经过几次小的升级后,相较于其他勒索软件,LockBit 1.0作案手段更为高超。针对Windows系统的加密过程采用RSA + AES算法加密文件,使用IOCP完成端口 + AES-NI指令集提升工作效率,从而实现高性能加密流程,一旦成功加密文件,所有受害者的文件会被添加无法破解的 .abcd 扩展后缀。
LockBit勒索软件1.0时期,主要通过修改受害者系统桌面壁纸来显示勒索信息,并留下名为 Restore-My-Files.txt 的勒索信,要求受害者登录暗网,用比特币或门罗币缴纳赎金。后来这个团伙因多起引人注目的攻击而成名。例如,在2022年6月,他们推出了LockBit 3.0版本,并包含了一个漏洞赏金计划,邀请安全研究人员测试并改进他们的软件。为发现系统漏洞提供奖励,这在勒索软件中是一个独特的做法。
自开始运作以来,LockBit在网络安全方面产生了显著影响,其攻击通常导致受害方的敏感数据被盗和财务损失。
“辉煌”历史
在2022年5月份之前,LockBit几乎是一骑绝尘,在全球范围内打穿超过850家企业机构的防御系统,占同时间段内所有勒索软件相关攻击事件的46%。RaaS代理模式:攻击方式:
据网络安全公司Dragos的数据,2022年第二季度针对工业系统的勒索软件攻击中,约有三分之一是由LockBit发起的,对工控领域内不少大型企业造成了巨大的打击。而Deep Instinct发布的研究报告指出,在2022年上半年,LockBit发起的勒索攻击约占总攻击数的44%。短短三年,LockBit勒索软件团伙的受害者数量已高达一千多个,是老牌勒索软件组织Conti的2倍,更是Revil的5倍有余。值得一提的是,LockBit勒索组织的赎金获得率也在诸多老牌勒索组织之上。就2022年的数据来看,其提出的1亿美元的赎金需求中,勒索成功率超过一半,令无数企业闻风丧胆。
现状
鉴于此,该团伙引起了全球执法机构的关注。2022年11月,美国司法部(DoJ)指控拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)涉嫌参与LockBit勒索软件行动。该男子目前在加拿大被拘留,正在等待引渡到美国。5月,俄罗斯国民Mikhail Pavlovich Matveev(30岁),又名Wazawaka、m1x、Boriselcin和Uhodiransomwar,被美国司法部指控参与了多次勒索软件攻击。
美国司法部公布了两份起诉书,指控该男子使用三种不同的勒索软件对美国各地众多受害者进行攻击,包括华盛顿特区和新泽西州的执法机构,以及全国医疗保健和其他部门的组织:2020年6月25日前后,Matveev及其LockBit同谋攻击了新泽西州帕塞克县的一家执法机构;2021年4月26日,Matveev及其Babuk同谋攻击了华盛顿特区的大都会警察局;2022年5月27日前后,Matveev及其Hive同谋攻击了新泽西州的一家非营利性行为保健组织。
2024年2月19日,臭名昭著的勒索团伙LockBit网站在英国国家犯罪局、美国联邦调查局、欧洲刑警组织和国际警察机构联盟的联合执法行动中被查封。
被抓谜团
据英国国家犯罪局发言人称,LockBit的服务已经中断,这是一项持续且发展中的行动。此次行动是执法机构与勒索团伙之间多年斗争的最新举措,对LockBit的近期跨国勒索运营造成有力打击,也对日益猖獗的勒索攻击形成有效威慑。
我们查看LockBit的节点,每个已知的LockBit勒索软件组织网站要么离线,要么显示被EUROPOL查封的页面。执法部门已查封或拆除了至少22个Tor站点,这被称为“克罗诺斯行动”。
在这之后,LockBit勒索软件集团管理人员向媒体确认他们的网站已被查封:但是,似乎这次查封并没有影响到LockBit核心人员,随后LockBit勒索软件组织向Tox上的个人发布了一条消息:“FBI搞砸了使用PHP的服务器,没有PHP的备用服务器没有受到影响。”
今天剧情发生了反转,LockBit领导层声明:我们就执法部门宣布将于2024年2月23日星期五公布LockBit领导层的事宜与LockBit勒索软件组织的管理人员进行了交谈。LockBit回复道:“让他们透露吧,我确信他们不知道我的身份。”进而,LockBit勒索软件组将名字改为“FBI Supp”,用来嘲讽执法机构。
据@vxunderground消息,现在看来最终的主谋似乎并没有被抓获,甚至LockBit公开悬赏更大的金额来让大众寻找自己。到这里故事越来越精彩,执法机构声称未来几天会发布更多LockBit组织信息。
后事如何?
我们拭目以待。
总结
这次打击行动是对勒索软件团伙的一系列执法举措中最新的一环。去年底,美国联邦调查局和其他机构已经成功摧毁了Qakbot、Ragnar Locker等多个勒索软件团伙的网络和基础设施。
在最近的慕尼黑网络安全会议上,美国司法部副部长强调了美国对抗勒索软件和网络犯罪的决心,提出将采用更快速、主动的策略,以预防和破坏这些犯罪活动为重点。
随着数字技术的发展,依赖加密货币的网络犯罪已经成为全球性的重大挑战。勒索软件等网络犯罪不仅给个人和企业带来损失,而且对整个社会构成了严重风险。
据统计,去年网络犯罪分子向全球的受害者勒索超过11亿美元。
此外,勒索软件治理是网络攻击者和安全人员双方的较量,需要耐心、策略、时机。
以LockBit勒索软件为例,其持续迭代更新每一个版本的攻击方式、策略、入侵点等,这使得安全人员很难形成完备的修复体系。
因此,在勒索软件治理过程中,预防远远比修复更重要,要采取系统化、综合施策、系统治理、多方联合的方式,形成预防勒索软件的围墙,强烈建议大家做好以下防护措施:
- 尽可能使用复杂密码:企业内部在设置服务器或者内部系统密码时,应采用复杂的登录凭证,例如必须包括数字、大小写字母、特殊符号,且长度至少为8位的密码,并定期更换口令。
- 双重验证:对于企业内部敏感信息,需要基于密码的登录基础上,增加其他层防御以阻止黑客攻击,例如在部分敏感系统上安装指纹、虹膜等生物识别验证或使用物理USB密钥身份验证器等措施。
- 四不要:不要点击来源不明邮件;不要浏览色情、赌博等不良信息网站;不要安装来源不明的软件;不要随意打开不明链接。
Views: 0