LockBit 勒索软件：针对最多产网络威胁的综合指南

LockBit 勒索软件已成为近年来最危险、最多产的网络威胁之一。 LockBit 使用勒索软件即服务 (RaaS) 模式，针对全球数千个组织发起攻击，造成数十亿美元的损失和勒索，据司法部称，已支付超过 1.2 亿美元的赎金.首次出现于2019年9月，LockBit 迅速演变成一种复杂且适应性强的恶意软件菌株。其成功可归因于以下几个因素：

1. 用户友好的界面，甚至允许技术水平较低的附属机构部署攻击
2. 创新的支付结构，激励附属公司加入运营
3. 勒索软件代码的不断开发和完善
4. 网络犯罪论坛中的激进营销策略

2024 年 6 月，FBI 宣布已获得超过 7,000 个 LockBit 勒索软件解密密钥。我们敦促受害者联系 FBI 的互联网犯罪投诉中心 (IC3)，寻求恢复加密数据的帮助。 2024 年 12 月，以色列当局逮捕了 Lockbit 的开发者。 51 岁的 Rostislav Panev 自 2019 年开始参与勒索软件，目前面临被引渡到美国的风险。

LockBit 变体

随着时间的推移，LockBit 操作发布了多个变体，每个变体都具有改进的功能：

1. ABCD 勒索软件（2019 年 9 月）——LockBit 的前身
2. LockBit 2.0 / LockBit Red（2021 年 6 月）- 推出 StealBit，一种内置信息窃取工具
3. LockBit Linux-ESXi Locker（2021 年 10 月）——针对 Linux 和 VMware ESXi 系统的扩展功能
4. LockBit 3.0 / LockBit Black（2022 年 3 月）——与 BlackMatter 和 Alphv 勒索软件有相似之处
5. LockBit Green（2023 年 1 月）——合并了 Conti 勒索软件的源代码
6. LockBit macOS（2023 年 4 月）——针对 macOS 系统的加密器

自成立以来，LockBit 一直对各个领域的众多引人注目的攻击负责。一些值得注意的事件包括：

1. 芝加哥卢里儿童医院（2024 年 2 月）——这次攻击迫使医院 IT 系统离线，扰乱了正常运营并延误了患者护理。
2. 芝加哥圣安东尼医院（2023 年 12 月）——LockBit 索要近 90 万美元的赎金，并在其泄密网站上发布了医院的信息。

全球影响力

FBI 报告称，自 2020 年以来，LockBit 已攻击美国约 1,700 个组织，受害者支付了约 9100 万美元的赎金。 LockBit 在全球范围内已造成 2,000 多名受害者，并收到超过 1.2 亿美元的赎金。

LockBit勒索软件的感染和执行方法

LockBit 附属公司采用各种策略来获得对受害者网络的初始访问权限：

另请阅读：INC. 赎金：新网络威胁的完整指南

初始访问

LockBit 附属公司采用各种复杂的策略来获得对受害者网络的初始访问权限。最常见的方法之一是通过网络钓鱼电子邮件，其中包含恶意附件或链接，打开或单击这些附件或链接时，会将勒索软件部署到目标系统上。另一种常用的方法是利用未修补的软件漏洞，利用需要使用最新安全补丁保持系统最新的组织。针对远程桌面协议 (RDP) 连接的暴力攻击也很普遍，攻击者使用自动化工具来猜测弱密码或常用密码。此外，一些附属机构在暗网论坛上从其他网络犯罪分子那里购买了被盗的访问凭据，为他们提供了进入受感染网络的直接入口点。

开发后活动

一旦 LockBit 附属机构成功渗透网络，他们就会采用系统方法来最大限度地发挥攻击的影响。第一步通常涉及权限升级，攻击者通常以管理员帐户为目标，寻求在系统内获得更高级别的访问权限。接下来是网络侦察，在此期间他们绘制网络架构并识别有价值的目标，例如包含敏感信息的关键服务器或数据库。然后，攻击者进行横向移动，在网络中传播以感染多个系统并扩大控制范围。在启动加密过程之前，LockBit 运营商通常会泄露敏感数据，以此作为其勒索需求的杠杆。下一阶段涉及使用强大的加密算法对文件和系统进行加密，从而有效地将受害者锁定在其数据之外。最后，攻击者交付包含付款指令和威胁的勒索信，从而发起勒索。

双重勒索手段

LockBit 通过采用双重勒索策略改进了其方法，显着增加了受害者支付赎金的压力。主要勒索涉及索要赎金来解密锁定的文件，这是传统的勒索软件模型。然而，LockBit 通过二次勒索更进一步。在此阶段，攻击者威胁称，如果不支付赎金，他们将在泄露的网站上发布被盗数据。这种额外的勒索层利用了受害者对数据暴露、声誉受损和潜在法律后果的恐惧。通过利用关键数据的不可访问性和公开发布的威胁，LockBit 显着增加了支付赎金的可能性，使他们的操作更加有利可图，对受害者来说更具破坏性。

LockBit 勒索软件妥协指标 (IOC)

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件及早检测未来的攻击尝试。要识别 LockBit 感染，组织应寻找以下指标：

文件扩展名

• .abcd（早期版本）
• .LockBit（更高版本）

勒索信

• “Restore-My-Files.txt” – 通常保留在每个加密文件夹中

文件哈希 (SHA256)

与 LockBit 勒索软件相关的一些示例文件哈希：

• 74d9a91c4e6d2c15f3b6f8e7679e624f
• a3f2e7cb7315c1e48801cb8c6a86d2d2
• b8eac9e84b458976f3944bb56b18031d

行为指标

• 突然无法访问文件或系统。
• 异常的网络活动或数据传输。
• 受感染系统上出现勒索字条。
• 系统意外关闭或重新启动。

如何应对 LockBit 勒索软件攻击

解决 LockBit 勒索软件攻击的第一步是通过断开与互联网的连接并分离所有连接的外围设备来隔离受感染的设备。此后，通知地方当局至关重要。这包括联邦调查局和网络犯罪投诉中心（IC3）适用于美国的个人和企业。要报告恶意软件事件，请编译所有相关信息，包括：

• 勒索信截图
• 与攻击者的任何通信（如果有）
• 加密文件的示例

如果您需要专业帮助，请保持所有受感染的设备不变，并寻求紧急勒索软件清除服务。该领域的专家可以有效地减轻损害、收集证据、反转加密并恢复系统。重新启动或关闭受感染的设备可能会危及恢复工作。捕获实时系统的 RAM 有助于获取加密密钥，同时识别负责执行恶意有效负载的植入文件可能允许进行逆向工程，从而解密数据或了解恶意软件的操作。保留所有攻击证据。这对于数字取证专家追踪和识别黑客组织至关重要。受感染系统上的数据对于当局调查事件至关重要。与其他刑事调查一样，网络攻击调查需要证据来识别肇事者。

1.联系您的事件响应提供商

网络事件响应涵盖管理和响应网络安全事件的策略。事件响应保留者是与网络安全公司签订的服务协议，使组织能够在此类事件期间获得外部援助。这种安排提供了安全合作伙伴的结构化专业知识和支持，有助于在网络危机期间做出快速有效的响应。拥有事件响应保留人员可以让组织放心，确保在网络安全事件发生之前和之后提供专家支持。事件响应保留者的细节可能会根据提供商和组织的需求而有所不同。有效的保留者应该是强大且适应性强的，能够提供经过验证的服务来增强组织的长期安全态势。在联系您的事件响应服务提供商后，他们可以立即负责并指导您完成勒索软件恢复过程。但是，如果您与 IT 团队在内部管理恶意软件删除和文件恢复，则可以继续执行以下步骤。

2.使用备份恢复数据

备份在数据恢复中的重要性怎么强调都不为过，特别是在涉及数据完整性的各种风险和威胁时。备份是全面数据保护策略的重要组成部分。它们能够从众多威胁中恢复，确保操作连续性并保护有价值的信息。在勒索软件攻击中，恶意软件会对您的数据进行加密并要求您付费才能释放数据，而备份可以让您在不满足攻击者要求的情况下恢复您的信息。定期测试和更新您的备份程序，以增强其针对潜在数据丢失情况的有效性。选择正确的备份介质并确保至少一份数据副本异地离线存储。

3. 联系恶意软件恢复服务

如果您缺少备份或需要帮助删除恶意软件和消除漏洞，请联系数据恢复服务。支付赎金并不能保证数据恢复。恢复所有文件的唯一可靠方法是通过备份。如果备份不可用，勒索软件数据恢复服务可以帮助解密和恢复您的文件。

防止LockBit勒索软件攻击

防止勒索软件是数据安全的最佳解决方案。这比从中恢复更容易、更便宜。 LockBit 勒索软件可能会让您的企业失去未来，甚至倒闭。以下是一些可帮助您避免恶意软件攻击的提示：

• 保持操作系统和软件更新使用最新的安全补丁和更新来防止攻击者可以利用的漏洞。
• 为了降低未经授权访问的风险，请使用强而独特的密码对于所有帐户，并在可行的情况下启用双因素身份验证。
• 请谨慎对待可疑电子邮件、链接和附件。避免打开电子邮件或点击链接来自未知或可疑的来源。
• 利用信誉良好的防病毒和反恶意软件软件，定期更新以在恶意软件造成损害之前检测并消除它。
• 实施防火墙以阻止未经授权的访问您的网络和系统。
• 采用网络分段将更广泛的网络划分为互连性有限的较小子网，限制攻击者的横向移动并防止对敏感数据的未经授权的访问。
• 限制用户权限最大限度地降低攻击者访问敏感数据和系统的风险。
• 培训员工识别并避免网络钓鱼电子邮件和其他社会工程策略。