勒索软件分析_LOCKBIT

已于 2024-08-13 14:12:49 修改
阅读量516 收藏 15
点赞数 3
分类专栏: 勒索软件 文章标签: 网络
于 2024-08-13 12:11:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitsch0x97/article/details/141052228
版权

.1. LOCKBIT 概述

LOCKBIT 勒索软件的背景与特点:LOCKBIT 是一种广泛传播的加密勒索软件家族,最早于 2019年被发现,起源于俄罗斯。该组织采用“勒索软件即服务”(RaaS)运营模式,为各种攻击者提供工具和基础设施,以便进行勒索攻击。LOCKBIT 的受害者包括金融服务、教育、医疗保健、制造以及政府机关等多个关键基础设施领域的组织。自 2020 年以来,LOCKBIT 在全球范围内进行了一系列攻击,2022年它被认为是全球规模最大的勒索软件变种。介绍 LOCKBIT 的起源、黑客运营模式以及对受害者组织的影响

LOCKBIT 的传播与影响力:LOCKBIT 勒索软件在运行时会主动规避俄语系主机,使用复杂的加密算法加密受害者文件,受害者需要支付赎金以获取解密密钥。这一过程中,LOCKBIT 采用“双重勒索”策略,不仅加密数据,还威胁公开窃取的数据。根据 Malwarebytes 和Digital Shadows 的研究报告,LOCKBIT 在 2022 年相关勒索软件攻击事件中占据了显著比例,并造成了严重的财务损失。分析 LOCKBIT 在全球范围内的攻击行为及其在勒索软件领域的主导地位

LOCKBIT 的攻击策略与技术:近年来,LOCKBIT 组织频繁利用各类漏洞进行攻击,包括 Citrix Bleed 漏洞(CVE-2023-4966),针对波音航空和其他大型公司的攻击引起了广泛关注。尽管LOCKBIT 曾在部分情况下存在被解密的可能性(例如由于软件漏洞),但在没有解密密钥的情况下,多数情况下数据是不可能被完全恢复的。LOCKBIT 利用漏洞进行攻击

LOCKBIT 的演变与未来发展:LockBit勒索软件家族经历了多个版本的迭代,如 LOCKBIT 2.0和LOCKBIT 3.0,不断演变以避开安全防护。其成功的关键在于灵活的合作伙伴体系和不断优化的攻击策略,这些因素使其在全球范围内的影响力持续扩大。LOCKBIT 的版本演变及未来攻击趋势

3. LOCKBIT 的演进

LOCKBIT 1.0:Lockbit 从 REvil 和 Maze 等勒索软件中汲取经验,并在2019年10月发布,成为新一代高级勒索软件。尽管起点较高,但早期传播较为平稳。LOCKBIT 最初成型

LOCKBIT 2.0:2021年7月,Lockbit宣布升级为2.0版本,重点宣传加密和数据窃取速度,以及自动传播能力,强调其技术实力和RaaS(Ransom as a Service)模式,显著扩大影响力。LOCKBIT 重振旗鼓

LOCKBIT 3.0:2022年6月,Lockbit 3.0发布,并引入漏洞赏金计划和Zcash支付,还增加了DDoS攻击作为第三种勒索手段,进一步提升了其勒索能力。LOCKBIT 强势再临

RaaS 的影响:勒索软件的RaaS模式自2017年兴起,实现了技术平台化和服务化,使得分包黑客可以轻松创建和分发定制版勒索软件,RaaS平台负责赎金处理和功能开发,极大推动了勒索软件的产业化。

2. LOCKBIT 攻击事件

版本时间受害单位攻击影响
LOCKBIT 1.02020.2 [2]物流公司 Expeditors遭到勒索病毒攻击导致全球业务关闭
2020.10 [4]印度报业公司 PTI(Press Trust of India ’s)遭到 LOCKBIT 入侵
2020.12 [2]直升机制造商 Kopter数据被发布到暗网中
2021.1 [2]法国司法部遭到 LOCKBIT 入侵
2021.5 [4]中国某日进公司服务器遭到 LOCKBIT 入侵
2021.5 [4]加拿大空军关键供应商 Top Aces遭到 LOCKBIT 入侵
2021.5 [2]英国铁路网络 Merseyrail被 LOCKBIT 勒索软件攻击
LOCKBIT 2.02021.8 [2]意大利拉齐奥地区导致该地区新冠疫苗接种工作受到影响
2021.8 [1]爱尔兰 IT 咨询公司埃森哲窃取约6 TB数据,要求支付5000万美元赎金
2021.9 [2]曼谷航空公司被 LOCKBIT 勒索软件攻击
2021.9 [2]意大利能源公司 EGR被 LOCKBIT 勒索软件攻击
2021.11 [4]中国西北某公司被 LOCKBIT 勒索软件攻击
2022.1 [1]法国泰雷兹集团部分数据被公开;同年11月再次遭受勒索攻击,公开窃取到的约9.5 GB数据
2022.2 [1]普利司通美洲公司公司暂停部分工作运营,受害系统数据被窃
2022.3 [4]中国南京某企业被 LOCKBIT 勒索软件攻击
2022.3 [2]客户关系管理 (CRM) 服务提供商 AtentoLockBit 对其造成 4210 万美元的巨额经济损失
2022.4 [4]德国 EKZ 公司图书馆借阅程序 Onleihe被 LOCKBIT 勒索软件攻击
2022.4 [4]南美洲金融中心里约热内卢州财政系统被 LOCKBIT 勒索软件攻击
2022.4 [4]美国地区政府机构被 LOCKBIT 勒索软件攻击
2022.4 [4]中国江西新余市某企业被 LOCKBIT 勒索软件攻击
2022.5 [4]富士康墨西哥生产工厂被 LOCKBIT 勒索软件攻击
LOCKBIT 3.02022.6 [1]美国国家安全公司 Entrust部分数据被窃取
2022.6 [4]日本汽车零件制造商丰田纺织旗下公司 TB Kawashima 泰国分销机构被 LOCKBIT 勒索软件攻击
2022.6 [4]谷歌威胁情报领域子公司 Mandiant被 LOCKBIT 勒索软件攻击
2022.6 [4]阿根廷卫生服务网站 OSDE被 LOCKBIT 勒索软件攻击
2022.7 [1]法国电信运营商La Poste Mobile导致部分系统关停,官方网站关停10余天,部分用户信息被公开
2022.7 [2]意大利税务机构被 LOCKBIT 勒索软件攻击
2022.8 [4]美国安全机构 Sophos被 LOCKBIT 勒索软件攻击
2022.8 [4]法国巴黎的南法兰西林中心医院(CHSF)被 LOCKBIT 勒索软件攻击
2022.9 [2]深圳某科技公司被 LOCKBIT 勒索软件攻击
2022.9 [4]英国跨国公司 IHG 酒店被 LOCKBIT 勒索软件攻击
2022.10 [4]微软 Exchange 服务器被 LOCKBIT 勒索软件攻击
2022.10 [1]巴西利亚银行部分数据被窃取,要求支付50 BTC赎金
2022.10 [4]日本科技公司 Oomiya IT 基础设施被 LOCKBIT 勒索软件攻击
2022.10 [4]英国保险公司 Kingfisher Insurance被 LOCKBIT 勒索软件攻击
2022.10 [2]Pendragon 汽车经销商拒绝了 LockBit 勒索软件 6000 万美元的赎金诉求
2022.11 [2]IT 服务提供商 Kearney & Company被 LOCKBIT 勒索软件攻击
2022.11 [1]德国大陆集团窃取约40 GB数据,要求支付5000万美元赎金
2022.12 [1]美国加州财政部窃取约76 GB数据
2022.12 [2]葡萄牙的里斯本港口被 LOCKBIT 勒索软件攻击
2023.1 [1]英国皇家邮政国际出口服务中断,约45 GB数据被窃取,要求支付8000万美元赎金
2023.3 [2]美国 Essendant 公司被 LOCKBIT 勒索软件攻击
2023.3 [2]美国奥克兰市被 LOCKBIT 勒索软件攻击
2023.6 [1]台积电供应商擎昊科技部分数据被窃取,要求支付7000万美元赎金
2023.6 [1]加拿大蒙特利尔市电力服务委员会窃取约44 GB数据
2023.10 [1]美国波音航空公司窃取约43 GB数据

参考链接

[1] LockBit勒索软件样本分析及针对定向勒索的防御思考;MD5,38745539B71CF201BB502437-F891D799
[2] 360 安全 Lockbit 勒索软件分析报告;LOCKBIT 勒索事件解决方案

[3] Lockbit 3.0勒索病毒的手动生成及其加密程序分析;通过已经泄露的 LOCKBIT 构造器生成勒索软件样本

[4] LockBit 勒索软件进阶之路;LOCKBIT 版本演进与技术细节分析

[5] 顶级加密勒索组织LockBit的深度剖析与技战法分析(上篇)

[6] 顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)

[7] 顶级加密勒索组织LockBit的防御方法(参考国外报告);一系列 LOCKBIT 介绍博客

[8] Lockbit2.0勒索病毒样本分析;MD5,0f890d99d7a89506db76866f4a93b771

[9] LockBit 3.0勒索病毒样本分析;SHA-256,80e8defa5377018609365b90de0f2957f7062144c-83a09a56bba1fe4eda932ce;样本源于 vx-underground


[10] LockBit 3.0 Analysis: How to Enhance Ransomware and Malware Protection;SHA-256,80e8defa5377018609365b90de0f2957f7062144c83a09a56bba1fe4eda932ce [11] Lockbit leak, research opportunities on tools leaked from TAs;勒索软件构造器泄露

kitsch0x97
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
勒索软件分析_勒索软件样本收集
kitsch0x97的博客
05-13 786
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····
Lockbit 3.0勒索病毒加密程序分析
2401_83062893的博客
02-29 1589
在2022年,LockBit是全球规模最大的勒索软件变种,且在2023年继续肆虐。自2020年1月以来,使用LockBit的附属机构已针对各个规模的关键基础设施领域的组织进行了攻击,包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和交通等。LockBit勒索软件运营采用了勒索软件即服务(RaaS)模式,招募合作伙伴利用LockBit勒索软件工具和基础设施进行勒索软件攻击。
样本分析 | LockBit:持续进化的勒索威胁
WangsuSecurity的博客
12-20 1284
本文旨在通过分析LockBit勒索软件的发展历程、技术特性,帮助大家提升对这一严重网络威胁的认识,并探讨可能的防御措施。通过理解LockBit及其代理的操作方式,我们可以更好地了解现代网络威胁的本质。
2024 年勒索软件将比以往更加残酷
网络研究观
06-13 2435
我们现在肯定还没有赢得对抗勒索软件的斗争。
360数字安全:2024年1月勒索软件流行态势分析报告
06-08
### 360数字安全:2024年1月勒索软件流行态势分析报告 #### 勒索软件概述及影响趋势 自勒索软件出现以来,360反勒索服务已处理数万起勒索软件感染事件。随着新变种的不断涌现,勒索软件对企业数据安全构成了严重...
2023勒索软件下半年报告
06-07
纵观下半年,Lockbit3 组织发动了近 600 起攻击事件,凭借强势表现在整个勒索软件市场中独占鳌头。同时,一些新兴的勒索软件如 8Base、Akira、Medusa 也在下半年迅猛崛起,迅速挤入了排名 top10。天际友盟追踪了下...
软件分析lockbit生成器,使用方法:运行builder.bat即可
10-30
LockBit是一款著名的勒索软件,它的生成器是一个用于创建定制化LockBit变种的工具。在软件开发领域,了解和研究这种恶意软件的生成器可以帮助我们更好地防范和对抗网络威胁。下面将详细介绍LockBit生成器及其使用...
勒索软件性能测试样本集锦
06-29
包含2020年-2021年的多种类型勒索软件,如Avaddon、Babik、Conti、LockBit、Hive、PwndLocker、REvil、Sodinokibi等等
技术报告《2022勒索软件态势分析报告》-18页
05-07
《2022勒索软件态势分析报告》揭示了当前全球勒索软件攻击的严峻形势。报告指出,勒索软件的攻击活动在2022年显著增加,尤其对中端产业市场造成巨大冲击,这其中包括科技、制造业、医卫、政府、教育、能源、地产和...
SSH 和 Telnet 之间的区别
ITmoster的博客
08-08 387
SSH 和 Telnet是帮助用户与远程系统建立连接的两种通信协议,这些通信协议决定了数据如何在网络上的不同设备之间传输,这些设备通常需要通过各种物理和数字环境进行传输,网络协议的主要目标是通信、网络管理和安全。
如何计算UDP校验和
ZhongUncle的博客
08-07 1016
在了解 UDP 校验和的时候,发现资料很少,如果看教材的话,一定看到过下面这两张图,但是又看不懂,加上解释之后也难懂:本文先说具体怎么算的,再说一些细节,过程中顺带解释一下这两个图(第一张图是布局情况,第二张图是解释如何计算的)。
HAProxy基本配置及参数实操
Webston的博客
08-12 861
静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器,CDN服务商,蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
mpls vpn基础实验
wudongfang666的专栏
08-10 477
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
Netty原理及实战应用(下篇)
最新发布
program哲学
08-12 49
本文详细介绍了netty关于websocket集成、消息推送应用、网络连接编解码等方面的内容
48天笔试训练错题——day44
ミカミミミ博客
08-08 830
48天笔试训练错题——day44.
思路超清晰的 LVS-NAT 模式实验部署
star103301的博客
08-09 1025
一、实验原理1、实验基础配置图。
运用Npcap库实现SYN半开放扫描
CSDN
08-10 1081
Npcap 是一款高性能的网络捕获和数据包分析库,作为 Nmap 项目的一部分,Npcap 可用于捕获、发送和分析网络数据包。本章将介绍如何使用 Npcap 库来实现半开放扫描功能。TCP SYN 半开放扫描是一种常见且广泛使用的端口扫描技术,用于探测目标主机端口的开放状态。由于这种方法并不完成完整的 TCP 三次握手过程,因此具有更高的隐蔽性和扫描效率。
【学习笔记】A2X通信的协议(六)- A2X Uu通信(一)
u011376987的博客
08-11 557
本条款描述了UE和A2X应用服务器之间通过Uu进行A2X通信的程序。除了3GPP TS 33.501[21]中为与5GCN的Uu连接指定的安全或隐私程序外,通过Uu的A2X通信没有其他额外的安全或隐私程序。本规范支持基于IP和非基于IP的通过Uu的A2X通信。在本规范的此版本中,通过Uu传输的A2X消息在上行链路中仅通过单播发送或接收,而在下行链路中则通过单播或多播广播单频网络(MBS)发送或接收。此外,A2X消息是通过用户平面上的用户数据通过Uu传输的。
lockbit3.0解密
01-13
LockBit 3.0是一种恶意软件,属于勒索软件的一种。它通常会通过钓鱼邮件、漏洞利用或者外部下载等方式,感染用户的电脑系统。一旦感染,LockBit 3.0会加密用户的文件,并要求用户支付赎金才能解密文件。 要解密LockBit 3.0,首先需要确保电脑已经清除了恶意软件。使用杀毒软件进行全盘扫描,确保已经清除所有的病毒和恶意软件。接下来,可以尝试使用现有的解密工具来解密文件。有时候安全公司会发布解密工具,可以针对特定的勒索软件进行解密。同时,也可以尝试恢复文件备份,如果有备份的话。 另外,也可以联系网络安全专家或者安全公司,寻求他们的帮助。有些安全公司可能拥有特殊的解密工具或者技术,可以帮助用户解密文件。最后,还可以尝试在网上寻找其他受害者的经验和解决方案,有时候他们的经验可以提供一些有用的帮助。 总的来说,要解密LockBit 3.0并不是一件容易的事情,需要综合使用多种方法和资源。此外,为了防止类似的情况再次发生,建议用户在日常使用电脑时要加强安全意识,不轻易打开可疑的邮件或者链接,同时及时备份重要文件,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值