content/zh-cn/images/repository/isc/2020/lockbit-ransomware-cover.jpg

 

LockBit 定义

LockBit 勒索软件是旨在阻止用户访问计算机系统以换取赎金的恶意软件。LockBit 将自动审查有价值的目标,传播感染并加密网络上所有可访问的计算机系统。该勒索软件用于对企业和其他公司发起极具针对性的攻击。利用这种自行发起的网络攻击,LockBit 攻击者已成功通过以下一些威胁手段对全球各地的多家组织施加了威胁:

  • 基本功能突然中断,导致运营中断
  • 黑客为牟取经济利益而进行勒索
  • 威胁受害者,如果他们不遵守黑客的要求,黑客就会实施数据盗窃和非法发布数据的行为。

什么是 LockBit 勒索软件?

LockBit 是范围广泛的勒索网络攻击中的一种新型勒索软件攻击。它以前被称为“ABCD”勒索软件,而这种特定攻击已经发展成为同类勒索工具中的一种独特威胁。LockBit 是被称为“加密病毒”的勒索软件的一个子类,因为它构造了与财务付款有关的勒索请求,以换取解密。它主要针对的是企业和政府组织,而不是个人。

使用 LockBit 的攻击最初始于 2019 年 9 月,当时被称为“.abcd 病毒”。这个名称是指加密受害者文件时使用的文件扩展名。过去的主要目标包括美国、中国、印度、印度尼西亚、乌克兰的公司。此外,欧洲各地的许多国家/地区(法国、英国、德国)也遭受了攻击。

可行的目标是那些因中断而感到业务受阻并愿意为消除阻碍而支付巨款的公司,并且这些公司有足够的资金支付赎金。因此,这可能导致针对大型企业(从医疗保健到金融机构)发起广泛攻击。在自动审查过程中,该恶意软件似乎也有意避免攻击俄罗斯或独立国家联合体内任何其他国家/地区的本地系统。可能是为了避免在这些地区遭到检举。

LockBit 采用了勒索软件即服务 (RaaS) 的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由 LockBit 开发人员团队和发起攻击的会员分配,后者最多可获得 3/4 的赎金。

LockBit 勒索软件如何发挥作用?

许多权威机构认为,LockBit 勒索软件是“LockerGoga 和 MegaCortex”恶意软件系列的一部分。这意味着,它与这些成熟的定向勒索软件具有共通的行为。简单说明一下,我们了解到,这些攻击具有以下特征:

  • 在组织内部自我传播,而不需要人工指导。
  • 定向传播,而不是像垃圾邮件恶意软件那样以分散的方式传播。
  • 使用相似的工具进行传播,例如 Windows Powershell 和服务器报文块 (SMB)。

最重要的是它具有自我传播能力,这意味着它可以自行传播。在其编程中,LockBit 由预先设计的自动化过程进行引导。这使其与其他许多勒索软件攻击不同,其他许多勒索软件都通过人工方式驱动,并驻留在网络中(有时持续数周)以完成侦查和监视。

在攻击者手动感染单个主机后,这种勒索软件可以找到其他可访问的主机,将它们连接到受感染的主机,并使用脚本共享感染。此过程的完成和重复完全无需人工干预。

此外,它以几乎所有 Windows 计算机系统都固有的模式使用工具。端点安全系统很难标记恶意活动。它还将用于加密文件的可执行文件伪装成通用的 .PNG 图像文件格式以隐藏它,从而进一步欺骗系统防御措施。

LockBit 攻击的阶段

LockBit 攻击大致可分为三个阶段:

  1. 漏洞
  2. 渗透
  3. 部署

阶段 1:利用网络中的弱点。最初的入侵看起来与其他恶意攻击高度相似。网络钓鱼之类的社会工程策略可能会对公司发起攻击,在这种策略中,攻击者冒充值得信任的人员或权威机构来请求访问凭据。同样可行的策略是,在公司的内网服务器和网络系统上使用暴力破解攻击。如果没有正确的网络配置,攻击探测可能仅需几天即可完成。

一旦 LockBit 进入网络,该勒索软件便会让系统做好准备,以在所有可能的设备上释放加密组件。但是,攻击者可能必须确保完成一些额外步骤,才能采取最终行动。

阶段 2:深入渗透以完成攻击设置(如果需要)。从此刻开始,LockBit 程序将独立地指导所有活动。它被编程为使用所谓的“漏洞攻击后”工具来升级权限,以获取允许顺利开展攻击的访问权限级别。它也会借助通过横向感染获取的访问权限,以审查对目标发起攻击的可行性。

在这个阶段,LockBit 将开展部署勒索软件的加密组件之前的所有准备工作。这包括禁用安全程序和任何其他可能允许系统执行恢复的基础设施。

渗透的目的是禁用自动恢复,或使恢复速度足够缓慢,导致向攻击者缴纳赎金成为唯一可行的解决方案。如果受害者迫切希望恢复正常运营,他们就会支付赎金。

阶段 3:部署加密组件。在网络已准备好充分发挥 LockBit 的作用时,该勒索软件将开始在它可以接触的任何计算机上传播。如前所述,LockBit 不需要太多资源即可完成此阶段。具有较高访问权限的单个系统单元可以向其他网络单元发出命令,以下载并运行 LockBit。

加密组件将在所有系统文件上执行“锁定”。受害者只能通过 LockBit 专有的解密工具创建的自定义密钥来解锁系统。该过程还会在每个系统文件夹中保留简单的勒索备注文本文件的副本。它为受害者提供了恢复系统的说明,甚至在某些 LockBit 版本中还包括威胁性的勒索要求。

完成所有阶段后,接下来的步骤由受害者处理。他们可能决定联系 LockBit 的支持部门并支付赎金。但是,不建议受害者遵守他们的要求。受害者无法保证攻击者会遵守他们的承诺。

LockBit 威胁的类型

作为最新的勒索软件攻击,LockBit 威胁可能是一个重大问题。我们不能排除它在许多行业和公司中扎根的可能性,特别是最近远程工作出现增长。发现 LockBit 的变体可以帮助您准确识别正在处理的威胁。

变体 1 - .abcd 扩展名

LockBit 的原始版本使用扩展名“.abcd”来重命名文件。此外,它还包含一个勒索备注,在“Restore-My-Files.txt”文件中提供了关于执行恢复的要求和说明,该文件已插入每个文件夹中。

变体 2 - .LockBit 扩展名

该勒索软件的第二个已知版本采用了“.LockBit”文件扩展名,这也是它当前这个绰号的来源。但是,受害者会发现,尽管对后端进行了一些修订,但此版本的其他特征似乎基本相同。

变体 3 - .LockBit 版本 2

下一个可识别的 LockBit 版本在勒索说明中不再要求受害者下载 Tor 浏览器。相反,它通过传统的互联网访问将受害者转至备用网站。

后续 LockBit 更新和修订

最近,LockBit 已通过更多恶意功能进行了增强,例如使管理权限检查点失效。LockBit 现在可禁用当应用程序尝试以管理员身份运行时用户可能看到的安全提示。

此外,该恶意软件现在可窃取服务器数据的副本,并在勒索备注中包含了额外几行勒索要求。为了防范受害者不遵守指示,LockBit 现在威胁,它将公开发布受害者的隐私数据。

LockBit 的移除和解密

如果您的公司已被感染,那么仅仅移除 LockBit 勒索软件也无法重新夺回文件访问权。您仍将需要一个工具来恢复系统,因为加密需要“密钥”来解锁。另外,如果您已经创建了感染前的备份映像,则可以通过重新部署映像来恢复系统。

如何防范 LockBit 勒索软件

最终,您必须采取保护措施,以确保您的公司能够一开始就抵御任何勒索软件或恶意攻击。以下是一些可以帮助您做好准备的做法:

  1. 采用高强度密码。许多帐户泄露是因为用户使用了容易猜测的密码,或者因为密码太过简单,算法工具经过几天探测后内即可查明。请确保您选择安全的密码,例如选择带有字符变化的长密码,并使用自行创建的规则来编写密码。
  2. 激活多因子身份验证。通过在基于密码的初始登录措施上添加保护层来阻止暴力破解攻击。尽可能在所有系统上实施生物识别或物理 U 盘认证器之类的措施。
  3. 重新评估并简化用户帐户权限。将权限限制到更严格的级别,以避免潜在威胁悄然入侵。请特别注意具有管理员级别权限的端点用户和 IT 帐户访问的内容。Web 域、协作平台、Web 会议服务和企业数据库均应得到保护。
  4. 清除过时和未使用的用户帐户。一些较旧的系统可能包含前员工的帐户,而又从未停用和关闭这些帐户。在完成对系统的检查时,应消除这些潜在的弱点。
  5. 确保系统配置遵循所有安全流程。这可能会花费一些时间,但回顾现有设置可能会发现新问题和过时的策略,这些薄弱环节会您的公司面临攻击风险。必须定期重新评估标准操作流程,以及时防范新的网络威胁。
  6. 始终准备好全系统备份和干净的本地计算机映像。安全事件不可能彻底避免,要防止数据永久丢失,唯一真正的保障就是保留脱机副本。您的公司应定期创建备份,以更新对系统做出的任何重要更改。如果备份因恶意软件感染而被污染,请考虑使用多个循环备份点,以允许您选择干净的备份期。

相关文章:

LockBit 勒索软件 - 须知信息

这是一种影响到全球企业的最新勒索软件。立即了解如何保护您的企业免受这种危险的勒索恶意软件侵害。
Kaspersky Logo