團(tuán)隊(duì)背景

2019 年 9 月，LockBit 勒索病毒首次正式亮相，其因使用后綴名.abcd來標(biāo)記已加密的受害者文件，被稱為“ABCD”勒索軟件。早期版本 LockBit1.0 非常不成熟，作案過程中加密軟件不僅使用固定的互斥鎖，甚至?xí)埩粢恍┮妆粴⒍拒浖?、沙箱等安全軟件識(shí)別和攔截的 debug 函數(shù)。

隨著組織規(guī)模不斷發(fā)展，LockBit 1.0 開始采用RaaS(Ransomware-as-a-service勒索軟件及服務(wù)) 模式運(yùn)營(yíng)，即開發(fā)并分發(fā)勒索軟件工具供其他惡意行為者使用，并在一個(gè)著名的俄語論壇XSS上為其合作計(jì)劃進(jìn)行推廣。

八個(gè)月后，LockBit 1.0 勒索軟件運(yùn)營(yíng)商又升級(jí)了勒索策略，創(chuàng)建了一個(gè)用于公開受害者數(shù)據(jù)的站點(diǎn)，配合文件加密，試圖進(jìn)一步施壓受害者，以期達(dá)成“雙重勒索”的目的。

經(jīng)過幾次小的升級(jí)后，相較于其他勒索軟件，LockBit 1.0作案手段更為高超。針對(duì)Windows 系統(tǒng)的加密過程采用RSA + AES算法加密文件，使用IOCP完成端口+AES-NI指令集提升工作效率，從而實(shí)現(xiàn)高性能加密流程，一旦成功加密文件，所有受害者的文件會(huì)被添加無法破解的.abcd 擴(kuò)展后綴。

LockBit勒索軟件1.0時(shí)期，主要通過修改受害者系統(tǒng)桌面壁紙來顯示勒索信息，并留下名為Restore-My-Files.txt的勒索信，要求受害者登錄暗網(wǎng)，用比特幣或門羅幣繳納贖金。

后來這個(gè)團(tuán)伙因多起引人注目的攻擊而成名。例如，在2022年6月，他們推出了LockBit 3.0 版本，并包含了一個(gè)漏洞賞金計(jì)劃，邀請(qǐng)安全研究人員測(cè)試并改進(jìn)他們的軟件。為發(fā)現(xiàn)系統(tǒng)漏洞提供獎(jiǎng)勵(lì)，這在勒索軟件中是一個(gè)獨(dú)特的做法。

自開始運(yùn)作以來，LockBit在網(wǎng)絡(luò)安全方面產(chǎn)生了顯著影響，其攻擊通常導(dǎo)致受害方的敏感數(shù)據(jù)被盜和財(cái)務(wù)損失。

“輝煌”歷史

在2022年5月份之前，LockBit幾乎是一騎絕塵，在全球范圍內(nèi)打穿超過850家企業(yè)機(jī)構(gòu)的防御系統(tǒng)，占同時(shí)間段內(nèi)所有勒索軟件相關(guān)攻擊事件的 46%。

RaaS 代理模式：

攻擊方式：

據(jù)網(wǎng)絡(luò)安全公司Dragos的數(shù)據(jù)，2022年第二季度針對(duì)工業(yè)系統(tǒng)的勒索軟件攻擊中，約有三分之一是由LockBit發(fā)起的，對(duì)工控領(lǐng)域內(nèi)不少大型企業(yè)造成了巨大的打擊。而Deep Instinct 發(fā)布的報(bào)告指出，在2022上半年，LockBit發(fā)起的勒索攻擊約占總攻擊數(shù)的44%。

短短三年，LockBit勒索軟件團(tuán)伙的受害者數(shù)量已高達(dá)一千多個(gè)，是老牌勒索軟件組織Conti 的2倍，更是Revil的5倍有余。

值得一提的是，LockBit 勒索組織的贖金獲得率也在諸多老牌勒索組織之上。就2022年的數(shù)據(jù)來看，其提出的1億美元的贖金需求中，勒索成功率超過一半，令無數(shù)企業(yè)聞風(fēng)喪膽。

現(xiàn)狀

鑒于此，該團(tuán)伙引起了全球執(zhí)法機(jī)構(gòu)的關(guān)注。2022 年 11 月，美國(guó)司法部(DoJ) 指控?fù)碛卸砹_斯和加拿大雙重國(guó)籍的米哈伊爾·瓦西里耶夫(Mikhail Vasiliev) 涉嫌參與LockBit勒索軟件行動(dòng)。該男子目前在加拿大被拘留，正在等待引渡到美國(guó)。

5月，俄羅斯國(guó)民Mikhail Pavlovich Matveev（30歲），又名 Wazawaka、m1x、Boriselcin和 Uhodiransomwar，被美國(guó)司法部指控參與了多次勒索軟件攻擊。

美國(guó)司法部公布了兩份起訴書，指控該男子使用三種不同的勒索軟件對(duì)美國(guó)各地眾多受害者進(jìn)行攻擊，包括華盛頓特區(qū)和新澤西州的執(zhí)法機(jī)構(gòu)，以及全國(guó)醫(yī)療保健和其他部門的組織：

2020年6月25日前后，Matveev和其LockBit同謀攻擊了新澤西州帕塞克縣的一家執(zhí)法機(jī)構(gòu)；

2021年4月26日，Matveev和其Babuk同謀攻擊了華盛頓特區(qū)的大都會(huì)警察局；

2022年5月27日前后，Matveev和其Hive同謀攻擊了新澤西州的一家非營(yíng)利性行為保健組織。

2024年 2 月 19 日，臭名昭著的勒索團(tuán)伙L(fēng)ockBit網(wǎng)站在英國(guó)國(guó)家犯罪局、美國(guó)聯(lián)邦調(diào)查局、歐洲刑警組織和國(guó)際警察機(jī)構(gòu)聯(lián)盟的聯(lián)合執(zhí)法行動(dòng)中被查封。

國(guó)政府聯(lián)合英國(guó)和歐洲刑警組織公布了有關(guān)LockBit勒索軟件組織的更多信息，他們還透露LockBit擁有193家分支機(jī)構(gòu)：

被抓謎團(tuán)

據(jù)英國(guó)國(guó)家犯罪局發(fā)言人稱，LockBit的服務(wù)已經(jīng)中斷，這是一項(xiàng)持續(xù)且發(fā)展中的行動(dòng)。此次行動(dòng)是執(zhí)法機(jī)構(gòu)與勒索團(tuán)伙之間多年斗爭(zhēng)的最新舉措，對(duì)LockBit的近期跨國(guó)勒索運(yùn)營(yíng)造成有力打擊，也對(duì)日益猖獗的勒索攻擊形成有效威懾。

我們查看LockBit的節(jié)點(diǎn)，每個(gè)已知的LockBit勒索軟件組織網(wǎng)站要么離線，要么顯示被 EUROPOL查封的頁(yè)面。執(zhí)法部門已查封或拆除了至少22個(gè)Tor站點(diǎn)，這被稱為“克羅諾斯行動(dòng)”。

在這之后，LockBit勒索軟件集團(tuán)管理人員向媒體確認(rèn)他們的網(wǎng)站已被查封：

但是，似乎這次查封并沒有影響到LockBit核心人員，隨后LockBit勒索軟件組織向Tox上的個(gè)人發(fā)布了一條消息：“FBI 搞砸了使用PHP的服務(wù)器，沒有PHP的備用服務(wù)器沒有受到影響?！?/p>

隨后劇情發(fā)生了反轉(zhuǎn)，LockBit領(lǐng)導(dǎo)層聲明：我們就執(zhí)法部門宣布將于2024年2月23日星期五公布LockBit領(lǐng)導(dǎo)層的事宜與LockBit 勒索軟件組織的管理人員進(jìn)行了交談。

LockBit回復(fù)道：“讓他們透露吧，我確信他們不知道我的身份?！边M(jìn)而，LockBit 勒索軟件組將名字改為“FBI Supp”，用來嘲諷執(zhí)法機(jī)構(gòu)：

現(xiàn)在看來最終的主謀似乎并沒有被抓獲，甚至LockBit公開懸賞更大的金額來讓大眾尋找自己。

總結(jié)

這次打擊行動(dòng)是對(duì)勒索軟件團(tuán)伙的一系列執(zhí)法舉措中最新的一環(huán)。去年底，美國(guó)聯(lián)邦調(diào)查局和其他機(jī)構(gòu)已經(jīng)成功摧毀了Qakbot、Ragnar Locker 等多個(gè)勒索軟件團(tuán)伙的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。

在最近的慕尼黑網(wǎng)絡(luò)安全會(huì)議上，美國(guó)司法部副部長(zhǎng)強(qiáng)調(diào)了美國(guó)對(duì)抗勒索軟件和網(wǎng)絡(luò)犯罪的決心，提出將采用更快速、主動(dòng)的策略，以預(yù)防和破壞這些犯罪活動(dòng)為重點(diǎn)。

隨著數(shù)字技術(shù)的發(fā)展，依賴加密貨幣的網(wǎng)絡(luò)犯罪已經(jīng)成為全球性的重大挑戰(zhàn)。勒索軟件等網(wǎng)絡(luò)犯罪不僅給個(gè)人和企業(yè)帶來?yè)p失，而且對(duì)整個(gè)社會(huì)構(gòu)成了嚴(yán)重風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì)，去年網(wǎng)絡(luò)犯罪分子向全球的受害者勒索超過11億美元。

此外，勒索軟件治理是網(wǎng)絡(luò)攻擊者和安全人員雙方的較量，需要耐心、策略、時(shí)機(jī)。

以LockBit勒索軟件為例，其持續(xù)迭代更新每一個(gè)版本的攻擊方式、策略、入侵點(diǎn)等，這使得安全人員很難形成完備的修復(fù)體系。因此，在勒索軟件治理過程中，預(yù)防遠(yuǎn)遠(yuǎn)比修復(fù)更重要，要采取系統(tǒng)化、綜合施策、系統(tǒng)治理、多方聯(lián)合的方式，形成預(yù)防勒索軟件的圍墻，強(qiáng)烈建議大家做好以下防護(hù)措施：

1.盡可能使用復(fù)雜密碼：企業(yè)內(nèi)部在設(shè)置服務(wù)器或者內(nèi)部系統(tǒng)密碼時(shí)，應(yīng)采用復(fù)雜的登錄憑證，例如必須包括數(shù)字、大小寫字母、特殊符號(hào)，且長(zhǎng)度至少為8位的密碼，并定期更換口令。

2.雙重驗(yàn)證：對(duì)于企業(yè)內(nèi)部敏感信息，需要基于密碼的登錄基礎(chǔ)上，增加其他層防御以阻止黑客攻擊，例如在部分敏感系統(tǒng)上安裝指紋、虹膜等生物識(shí)別驗(yàn)證或使用物理 USB密鑰身份驗(yàn)證器等措施。

3.四不要：不要點(diǎn)擊來源不明郵件；不要瀏覽色情、賭博等不良信息網(wǎng)站；不要安裝來源不明軟件，謹(jǐn)慎安裝陌生人發(fā)送的軟件；不要隨意將來歷不明的U盤、移動(dòng)硬盤、閃存卡等移動(dòng)存儲(chǔ)設(shè)備插入設(shè)備。

4.數(shù)據(jù)備份保護(hù)：防止數(shù)據(jù)丟失的真正保障永遠(yuǎn)是離線備份，因此，對(duì)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份十分必要。注意，備份要清晰，標(biāo)注每個(gè)階段的備份，確保在某個(gè)備份受到惡意軟件感染時(shí)能夠及時(shí)找回。

5.要常殺毒、關(guān)端口：安裝殺毒軟件并定期更新病毒庫(kù)，定期全盤殺毒；關(guān)閉不必要的服務(wù)和端口（包括不必要的遠(yuǎn)程訪問服務(wù)3389端口、22端口和不必要的 135、139、445等局域網(wǎng)共享端口等）。

6.加強(qiáng)員工安全意識(shí)：安全生產(chǎn)最大的隱患在于人員，釣魚、社工、投毒、弱密碼等，這些關(guān)鍵因素都與人員的安全意識(shí)息息相關(guān)，因此要做好整體的安全加固和防御能力提升，就要切實(shí)提升人員的安全意識(shí)。

及時(shí)給辦公終端和服務(wù)器打補(bǔ)?。簩?duì)操作系統(tǒng)以及第三方應(yīng)用及時(shí)打補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)。

（文章轉(zhuǎn)載自coinlive，原文鏈接：https://www.coinlive.com/zh/news/slow-mist-the-mysterious-case-of-lockbit-the-world-s-largest）