Lockbit勒索软件已成为近年来最危险和多产的网络威胁之一。 Lockbit使用勒索软件即服务(RAAS)模型,针对全球成千上万的组织,造成数十亿美元的损失和勒索,司法部称,超过1.2亿美元的赎金支付。首先出现2019年9月,Lockbit迅速演变成复杂且高度适应的恶意软件应变。它的成功可以归因于几个因素:
- 一个用户友好的界面,允许技术熟练的分支机构部署攻击较低的界面
- 激励分支机构加入行动的创新支付结构
- 不断开发和改进勒索软件代码
- 网络犯罪论坛中的积极营销策略
2024年6月,联邦调查局宣布已获得7,000多个洛克比特勒索软件解密键。敦促受害者联系联邦调查局的互联网犯罪投诉中心(IC3),以帮助恢复加密数据。 2024年12月,当局逮捕了洛克比特在以色列的开发商。自2019年开始以来,现年51岁的Rostislav Panev就参与了勒索软件,并正面临引渡到美国。
Lockbit变体
Lockbit操作随着时间的推移发布了多个变体,每个变体都具有提高功能:
- ABCD勒索软件(2019年9月) - Lockbit的前身
- Lockbit 2.0 / Lockbit Red(2021年6月) - 引入的STEATBIT,一种内置的信息窃取工具
- Lockbit Linux-ESXI储物柜(2021年10月) - 针对Linux和VMware ESXI Systems的扩展功能
- Lockbit 3.0 / Lockbit Black(2022年3月) - 与Blackmatter和Alphv勒索软件共享相似之处
- Lockbit Green(2023年1月) - Conti Ransomware的合并源代码
- Lockbit MacOS(2023年4月) - 针对MacOS系统的加密人
自成立以来,洛克比特(Lockbit)负责各个部门的众多备受瞩目的攻击。一些值得注意的事件包括:
- 芝加哥的Lurie儿童医院(2024年2月) - 这次袭击迫使医院将其IT系统离线置于破坏正常操作并延迟患者护理。
- 芝加哥圣安东尼医院(2023年12月) - 洛克比特(Lockbit)要求赎金近90万美元,并在其泄漏现场发布了该医院的信息。
全球影响
联邦调查局报道说,自2020年以来,洛克比特(Lockbit)袭击了美国约1,700个组织,受害者的赎金约为9100万美元。在全球范围内,洛克比特(Lockbit)夺取了2,000多名受害者,并获得了超过1.2亿美元的赎金。
Lockbit勒索软件感染和执行方法
Lockbit会员采用各种策略来获得受害者网络的初步访问:
初始访问
Lockbit会员采用各种复杂的策略来最初访问受害者网络。最常见的方法之一是通过网络钓鱼电子邮件,其中包含恶意附件或链接,在打开或单击时,将勒索软件部署到目标系统上。另一种经常使用的方法是利用未解决的软件漏洞,利用需要通过最新的安全补丁保持其系统的组织。远程桌面协议(RDP)连接的蛮力攻击也很普遍,攻击者使用自动化工具来猜测弱或常用的密码。此外,一些分支机构从黑暗网络论坛上购买了其他网络犯罪分子的偷窃访问权限,从而为他们提供了折衷网络的直接切入点。
解释后活动
一旦Lockbit会员成功渗透了一个网络,他们便遵循一种系统的方法来最大程度地发挥其攻击的影响。第一步通常涉及特权升级,攻击者试图在系统内获得更高级别的访问权限,通常以管理员帐户为目标。接下来是网络侦察,在此期间,他们绘制了网络体系结构并确定有价值的目标,例如关键服务器或包含敏感信息的数据库。然后,攻击者进行横向运动,在网络上传播以感染多个系统并扩大其控制。在启动加密过程之前,Lockbit操作员经常会渗透敏感的数据,这是其勒索需求的杠杆作用。下一阶段涉及使用强大的加密算法对文件和系统进行加密,从而有效地将受害者锁定在数据中。最后,攻击者发表了一张赎金,其中包含付款说明和威胁,并发起勒索。
双重勒索战术
洛克比特(Lockbit)通过采用双重勒索策略来完善其方法,从而大大增加了对受害者支付赎金的压力。主要勒索涉及要求赎金以解密锁定文件,这是传统的勒索软件模型。但是,Lockbit通过二级勒索将这一步骤更进一步。在此阶段,攻击者威胁说,如果未支付赎金,则会在泄漏的网站上发布被盗的数据。这一额外的勒索层利用了受害者对数据暴露,声誉损害和潜在法律后果的恐惧。通过利用关键数据的无法获取性和公众发行的威胁,洛克比特(Lockbit)显着增加了赎金支付的可能性,使他们的运营对受害者的利润更高和毁灭性。
Lockbit勒索软件妥协指标(IOC)
妥协的指标(IOC)是在网络或操作系统上观察到的伪像,以表明计算机侵入率很高的置信度。 IOC可用于使用入侵检测系统和防病毒软件尽早检测未来的攻击尝试。要识别Lockbit感染,组织应查找以下指标:
文件扩展
- .ABCD(早期版本)
- .lockbit(以后的版本)
赎金笔记
- “ Restore-my-files.txt” - 通常留在每个加密文件夹中
文件哈希(SHA256)
与Lockbit勒索软件关联的一些示例文件哈希:
- 74D9A91C4E6D2C15F3B6F8E7679E624F
- A3F2E7CB7315C1E48801CB8C6A86D2D2
- B8AAC9E84B458976F3944B56B18031D
行为指标
- 突然无法访问文件或系统。
- 不寻常的网络活动或数据传输。
- 在感染系统上的赎金注释。
- 意外的系统关闭或重新启动。
如何处理Lockbit勒索软件攻击
解决Lockbit勒索软件攻击的第一步是通过将其与Internet断开连接并脱离任何连接的外围设备来隔离感染设备。在此之后,通知地方当局至关重要。这包括联邦调查局和互联网犯罪投诉中心(IC3)对于美国的个人和企业,要报告恶意软件事件,请汇编所有相关信息,包括:
- 赎金的屏幕截图
- 与攻击者的任何通信(如果有)
- 加密文件的样本
如果您喜欢专业的帮助,请将所有受感染的设备保持不变,并寻求紧急勒索软件拆除服务。该领域的专家可以有效地减轻损害,收集证据,扭转加密并恢复您的系统。重新启动或关闭受感染的设备可能会损害恢复工作。捕获实时系统的RAM可以帮助获取加密密钥,同时识别滴管文件(用于执行恶意有效载荷的反应)可能会允许进行反向工程,从而导致数据解密或对恶意软件的操作的见解。不要删除ransomware;保留所有袭击的证据。对于数字取证专家来说,这对于追踪和识别黑客组至关重要。您受损系统上的数据对于当局调查事件至关重要。像其他刑事询问一样,网络攻击调查需要证据来识别肇事者。
1。联系您的事件响应提供者
网络事件响应涵盖了管理和响应网络安全事件的策略。事件响应保留器是与网络安全公司的服务协议,使组织在此类事件中能够获得外部援助。这种安排为安全伙伴提供了结构化的专业知识和支持,从而在网络危机期间促进了迅速有效的响应。事件响应保留者会保留组织,并确保在网络安全事件发生前后的专家支持。事件响应保留器的细节可能会根据提供商和组织的需求而有所不同。有效的固定器应具有稳健性和适应能力,为加强组织的长期安全姿势提供了可靠的服务。UPON与您的事件响应服务提供商联系,他们可以立即负责并指导您完成勒索软件恢复过程。但是,如果您与IT团队内部管理恶意软件删除和文件恢复,则可以继续执行以下步骤。
2。使用备份来还原数据
备份在数据恢复中的重要性不能被夸大,尤其是关于各种风险和对数据完整性的威胁。后备是综合数据保护策略的重要因素。它们可以从众多威胁中恢复,确保运营连续性并保护有价值的信息。在勒索软件攻击中,恶意软件会加密您的数据并要求其发布付款,备份使您可以恢复信息,而无需屈服于攻击者的需求。进行注册测试和更新备份程序,以增强其针对潜在数据丢失方案的有效性。选择右备份介质,并确保至少将数据副本存储在离线和离线。
3。联系恶意软件恢复服务
如果您缺乏备份或需要帮助删除恶意软件和消除漏洞的帮助,请联系数据恢复服务。支付赎金并不能保证数据回收。还原所有文件的唯一保证方法是通过备份。如果备份不可用,勒索软件数据恢复服务可以帮助解密和恢复您的文件。
防止Lockbit勒索软件攻击
防止勒索软件是数据安全性的最佳解决方案。它比从中恢复更容易和便宜。 Lockbit勒索软件可能会使您的业务损失其未来,甚至可以关闭其门。这里有几个技巧可以帮助您避免恶意软件攻击:
- 保持您的操作系统和软件更新借助最新的安全补丁和更新,以防止攻击者可以利用的漏洞。
- 为了降低未经授权访问的风险,请使用强,独特的密码对于所有帐户,并在可行的情况下启用两因素身份验证。
- 通过可疑的电子邮件,链接和附件谨慎行事。避免打开电子邮件或单击链接来自未知或可疑来源。
- 利用信誉良好防病毒和抗恶意软件软件,定期更新它以检测和消除恶意软件,然后才会造成损害。
- 实施防火墙以阻止未经授权的网络和系统访问。
- 采用网络细分将更广泛的网络分为具有有限的互连性的较小子网络,从而限制了攻击者的横向移动,并防止未经授权访问敏感数据。
- 限制用户特权最大程度地减少攻击者访问敏感数据和系统的风险。
- 培训员工识别并避免网络钓鱼电子邮件和其他社会工程策略。