LockBit 勒索軟件：針對最多產網絡威脅的綜合指南

LockBit 勒索軟件已成為近年來最危險、最多產的網絡威脅之一。 LockBit 使用勒索軟件即服務 (RaaS) 模式，針對全球數千個組織發起攻擊，造成數十億美元的損失和勒索，據司法部稱，已支付超過 1.2 億美元的贖金.首次出現於2019年9月，LockBit 迅速演變成一種複雜且適應性強的惡意軟件菌株。其成功可歸因於以下幾個因素：

1. 用戶友好的界面，甚至允許技術水平較低的附屬機構部署攻擊
2. 創新的支付結構，激勵附屬公司加入運營
3. 勒索軟件代碼的不斷開發和完善
4. 網絡犯罪論壇中的激進營銷策略

2024 年 6 月，FBI 宣布已獲得超過 7,000 個 LockBit 勒索軟件解密密鑰。我們敦促受害者聯繫 FBI 的互聯網犯罪投訴中心 (IC3)，尋求恢復加密數據的幫助。 2024 年 12 月，以色列當局逮捕了 Lockbit 的開發者。 51 歲的 Rostislav Panev 自 2019 年開始參與勒索軟件，目前面臨被引渡到美國的風險。

LockBit 變體

隨著時間的推移，LockBit 操作發布了多個變體，每個變體都具有改進的功能：

1. ABCD 勒索軟件（2019 年 9 月）——LockBit 的前身
2. LockBit 2.0 / LockBit Red（2021 年 6 月）- 推出 StealBit，一種內置信息竊取工具
3. LockBit Linux-ESXi Locker（2021 年 10 月）——針對 Linux 和 VMware ESXi 系統的擴展功能
4. LockBit 3.0 / LockBit Black（2022 年 3 月）——與 BlackMatter 和 Alphv 勒索軟件有相似之處
5. LockBit Green（2023 年 1 月）——合併了 Conti 勒索軟件的源代碼
6. LockBit macOS（2023 年 4 月）——針對 macOS 系統的加密器

自成立以來，LockBit 一直對各個領域的眾多引人注目的攻擊負責。一些值得注意的事件包括：

1. 芝加哥盧裡兒童醫院（2024 年 2 月）——這次攻擊迫使醫院 IT 系統離線，擾亂了正常運營並延誤了患者護理。
2. 芝加哥聖安東尼醫院（2023 年 12 月）——LockBit 索要近 90 萬美元的贖金，並在其洩密網站上發布了醫院的信息。

全球影響力

FBI 報告稱，自 2020 年以來，LockBit 已攻擊美國約 1,700 個組織，受害者支付了約 9100 萬美元的贖金。 LockBit 在全球範圍內已造成 2,000 多名受害者，並收到超過 1.2 億美元的贖金。

LockBit勒索軟件的感染和執行方法

LockBit 附屬公司採用各種策略來獲得對受害者網絡的初始訪問權限：

另請閱讀：INC. 贖金：新網絡威脅的完整指南

初始訪問

LockBit 附屬公司採用各種複雜的策略來獲得對受害者網絡的初始訪問權限。最常見的方法之一是通過網絡釣魚電子郵件，其中包含惡意附件或鏈接，打開或單擊這些附件或鏈接時，會將勒索軟件部署到目標系統上。另一種常用的方法是利用未修補的軟件漏洞，利用需要使用最新安全補丁保持系統最新的組織。針對遠程桌面協議 (RDP) 連接的暴力攻擊也很普遍，攻擊者使用自動化工具來猜測弱密碼或常用密碼。此外，一些附屬機構在暗網論壇上從其他網絡犯罪分子那裡購買了被盜的訪問憑據，為他們提供了進入受感染網絡的直接入口點。

開發後活動

一旦 LockBit 附屬機構成功滲透網絡，他們就會採用系統方法來最大限度地發揮攻擊的影響。第一步通常涉及權限升級，攻擊者通常以管理員帳戶為目標，尋求在系統內獲得更高級別的訪問權限。接下來是網絡偵察，在此期間他們繪製網絡架構並識別有價值的目標，例如包含敏感信息的關鍵服務器或數據庫。然後，攻擊者進行橫向移動，在網絡中傳播以感染多個系統並擴大控制範圍。在啟動加密過程之前，LockBit 運營商通常會洩露敏感數據，以此作為其勒索需求的槓桿。下一階段涉及使用強大的加密算法對文件和系統進行加密，從而有效地將受害者鎖定在其數據之外。最後，攻擊者交付包含付款指令和威脅的勒索信，從而發起勒索。

雙重勒索手段

LockBit 通過採用雙重勒索策略改進了其方法，顯著增加了受害者支付贖金的壓力。主要勒索涉及索要贖金來解密鎖定的文件，這是傳統的勒索軟件模型。然而，LockBit 通過二次勒索更進一步。在此階段，攻擊者威脅稱，如果不支付贖金，他們將在洩露的網站上發布被盜數據。這種額外的勒索層利用了受害者對數據暴露、聲譽受損和潛在法律後果的恐懼。通過利用關鍵數據的不可訪問性和公開發布的威脅，LockBit 顯著增加了支付贖金的可能性，使他們的操作更加有利可圖，對受害者來說更具破壞性。

LockBit 勒索軟件妥協指標 (IOC)

妥協指標 (IOC) 是在網絡或操作系統中觀察到的偽影，可高度可信地指示計算機入侵。 IOC 可用於使用入侵檢測系統和防病毒軟件及早檢測未來的攻擊嘗試。要識別 LockBit 感染，組織應尋找以下指標：

文件擴展名

• .abcd（早期版本）
• .LockBit（更高版本）

勒索信

• “Restore-My-Files.txt” – 通常保留在每個加密文件夾中

文件哈希 (SHA256)

與 LockBit 勒索軟件相關的一些示例文件哈希：

• 74d9a91c4e6d2c15f3b6f8e7679e624f
• a3f2e7cb7315c1e48801cb8c6a86d2d2
• b8eac9e84b458976f3944bb56b18031d

行為指標

• 突然無法訪問文件或系統。
• 異常的網絡活動或數據傳輸。
• 受感染系統上出現勒索字條。
• 系統意外關閉或重新啟動。

如何應對 LockBit 勒索軟件攻擊

解決 LockBit 勒索軟件攻擊的第一步是通過斷開與互聯網的連接並分離所有連接的外圍設備來隔離受感染的設備。此後，通知地方當局至關重要。這包括聯邦調查局和網絡犯罪投訴中心（IC3）適用於美國的個人和企業。要報告惡意軟件事件，請編譯所有相關信息，包括：

• 勒索信截圖
• 與攻擊者的任何通信（如果有）
• 加密文件的示例

如果您需要專業幫助，請保持所有受感染的設備不變，並尋求緊急勒索軟件清除服務。該領域的專家可以有效地減輕損害、收集證據、反轉加密並恢復系統。重新啟動或關閉受感染的設備可能會危及恢復工作。捕獲實時系統的 RAM 有助於獲取加密密鑰，同時識別負責執行惡意有效負載的植入文件可能允許進行逆向工程，從而解密數據或了解惡意軟件的操作。保留所有攻擊證據。這對於數字取證專家追踪和識別黑客組織至關重要。受感染系統上的數據對於當局調查事件至關重要。與其他刑事調查一樣，網絡攻擊調查需要證據來識別肇事者。

1.聯繫您的事件響應提供商

網絡事件響應涵蓋管理和響應網絡安全事件的策略。事件響應保留者是與網絡安全公司簽訂的服務協議，使組織能夠在此類事件期間獲得外部援助。這種安排提供了安全合作夥伴的結構化專業知識和支持，有助於在網絡危機期間做出快速有效的響應。擁有事件響應保留人員可以讓組織放心，確保在網絡安全事件發生之前和之後提供專家支持。事件響應保留者的細節可能會根據提供商和組織的需求而有所不同。有效的保留者應該是強大且適應性強的，能夠提供經過驗證的服務來增強組織的長期安全態勢。在聯繫您的事件響應服務提供商後，他們可以立即負責並指導您完成勒索軟件恢復過程。但是，如果您與 IT 團隊在內部管理惡意軟件刪除和文件恢復，則可以繼續執行以下步驟。

2.使用備份恢復數據

備份在數據恢復中的重要性怎麼強調都不為過，特別是在涉及數據完整性的各種風險和威脅時。備份是全面數據保護策略的重要組成部分。它們能夠從眾多威脅中恢復，確保操作連續性並保護有價值的信息。在勒索軟件攻擊中，惡意軟件會對您的數據進行加密並要求您付費才能釋放數據，而備份可以讓您在不滿足攻擊者要求的情況下恢復您的信息。定期測試和更新您的備份程序，以增強其針對潛在數據丟失情況的有效性。選擇正確的備份介質並確保至少一份數據副本異地離線存儲。

3. 聯繫惡意軟件恢復服務

如果您缺少備份或需要幫助刪除惡意軟件和消除漏洞，請聯繫數據恢復服務。支付贖金並不能保證數據恢復。恢復所有文件的唯一可靠方法是通過備份。如果備份不可用，勒索軟件數據恢復服務可以幫助解密和恢復您的文件。

防止LockBit勒索軟件攻擊

防止勒索軟件是數據安全的最佳解決方案。這比從中恢復更容易、更便宜。 LockBit 勒索軟件可能會讓您的企業失去未來，甚至倒閉。以下是一些可幫助您避免惡意軟件攻擊的提示：

• 保持操作系統和軟件更新使用最新的安全補丁和更新來防止攻擊者可以利用的漏洞。
• 為了降低未經授權訪問的風險，請使用強而獨特的密碼對於所有帳戶，並在可行的情況下啟用雙因素身份驗證。
• 請謹慎對待可疑電子郵件、鏈接和附件。避免打開電子郵件或點擊鏈接來自未知或可疑的來源。
• 利用信譽良好的防病毒和反惡意軟件軟件，定期更新以在惡意軟件造成損害之前檢測並消除它。
• 實施防火牆以阻止未經授權的訪問您的網絡和系統。
• 採用網絡分段將更廣泛的網絡劃分為互連性有限的較小子網，限制攻擊者的橫向移動並防止對敏感數據的未經授權的訪問。
• 限制用戶權限最大限度地降低攻擊者訪問敏感數據和系統的風險。
• 培訓員工識別並避免網絡釣魚電子郵件和其他社會工程策略。