.1. LOCKBIT 概述
LOCKBIT 勒索软件的背景与特点:LOCKBIT 是一种广泛传播的加密勒索软件家族,最早于 2019年被发现,起源于俄罗斯。该组织采用“勒索软件即服务”(RaaS)运营模式,为各种攻击者提供工具和基础设施,以便进行勒索攻击。LOCKBIT 的受害者包括金融服务、教育、医疗保健、制造以及政府机关等多个关键基础设施领域的组织。自 2020 年以来,LOCKBIT 在全球范围内进行了一系列攻击,2022年它被认为是全球规模最大的勒索软件变种。介绍 LOCKBIT 的起源、黑客运营模式以及对受害者组织的影响
LOCKBIT 的传播与影响力:LOCKBIT 勒索软件在运行时会主动规避俄语系主机,使用复杂的加密算法加密受害者文件,受害者需要支付赎金以获取解密密钥。这一过程中,LOCKBIT 采用“双重勒索”策略,不仅加密数据,还威胁公开窃取的数据。根据 Malwarebytes 和Digital Shadows 的研究报告,LOCKBIT 在 2022 年相关勒索软件攻击事件中占据了显著比例,并造成了严重的财务损失。分析 LOCKBIT 在全球范围内的攻击行为及其在勒索软件领域的主导地位
LOCKBIT 的攻击策略与技术:近年来,LOCKBIT 组织频繁利用各类漏洞进行攻击,包括 Citrix Bleed 漏洞(CVE-2023-4966),针对波音航空和其他大型公司的攻击引起了广泛关注。尽管LOCKBIT 曾在部分情况下存在被解密的可能性(例如由于软件漏洞),但在没有解密密钥的情况下,多数情况下数据是不可能被完全恢复的。LOCKBIT 利用漏洞进行攻击
LOCKBIT 的演变与未来发展:LockBit勒索软件家族经历了多个版本的迭代,如 LOCKBIT 2.0和LOCKBIT 3.0,不断演变以避开安全防护。其成功的关键在于灵活的合作伙伴体系和不断优化的攻击策略,这些因素使其在全球范围内的影响力持续扩大。LOCKBIT 的版本演变及未来攻击趋势
3. LOCKBIT 的演进
LOCKBIT 1.0:Lockbit 从 REvil 和 Maze 等勒索软件中汲取经验,并在2019年10月发布,成为新一代高级勒索软件。尽管起点较高,但早期传播较为平稳。LOCKBIT 最初成型
LOCKBIT 2.0:2021年7月,Lockbit宣布升级为2.0版本,重点宣传加密和数据窃取速度,以及自动传播能力,强调其技术实力和RaaS(Ransom as a Service)模式,显著扩大影响力。LOCKBIT 重振旗鼓
LOCKBIT 3.0:2022年6月,Lockbit 3.0发布,并引入漏洞赏金计划和Zcash支付,还增加了DDoS攻击作为第三种勒索手段,进一步提升了其勒索能力。LOCKBIT 强势再临
RaaS 的影响:勒索软件的RaaS模式自2017年兴起,实现了技术平台化和服务化,使得分包黑客可以轻松创建和分发定制版勒索软件,RaaS平台负责赎金处理和功能开发,极大推动了勒索软件的产业化。
2. LOCKBIT 攻击事件
版本 | 时间 | 受害单位 | 攻击影响 |
LOCKBIT 1.0 | 2020.2 [2] | 物流公司 Expeditors | 遭到勒索病毒攻击导致全球业务关闭 |
2020.10 [4] | 印度报业公司 PTI(Press Trust of India ’s) | 遭到 LOCKBIT 入侵 | |
2020.12 [2] | 直升机制造商 Kopter | 数据被发布到暗网中 | |
2021.1 [2] | 法国司法部 | 遭到 LOCKBIT 入侵 | |
2021.5 [4] | 中国某日进公司服务器 | 遭到 LOCKBIT 入侵 | |
2021.5 [4] | 加拿大空军关键供应商 Top Aces | 遭到 LOCKBIT 入侵 | |
2021.5 [2] | 英国铁路网络 Merseyrail | 被 LOCKBIT 勒索软件攻击 | |
LOCKBIT 2.0 | 2021.8 [2] | 意大利拉齐奥地区 | 导致该地区新冠疫苗接种工作受到影响 |
2021.8 [1] | 爱尔兰 IT 咨询公司埃森哲 | 窃取约6 TB数据,要求支付5000万美元赎金 | |
2021.9 [2] | 曼谷航空公司 | 被 LOCKBIT 勒索软件攻击 | |
2021.9 [2] | 意大利能源公司 EGR | 被 LOCKBIT 勒索软件攻击 | |
2021.11 [4] | 中国西北某公司 | 被 LOCKBIT 勒索软件攻击 | |
2022.1 [1] | 法国泰雷兹集团 | 部分数据被公开;同年11月再次遭受勒索攻击,公开窃取到的约9.5 GB数据 | |
2022.2 [1] | 普利司通美洲公司 | 公司暂停部分工作运营,受害系统数据被窃 | |
2022.3 [4] | 中国南京某企业 | 被 LOCKBIT 勒索软件攻击 | |
2022.3 [2] | 客户关系管理 (CRM) 服务提供商 Atento | LockBit 对其造成 4210 万美元的巨额经济损失 | |
2022.4 [4] | 德国 EKZ 公司图书馆借阅程序 Onleihe | 被 LOCKBIT 勒索软件攻击 | |
2022.4 [4] | 南美洲金融中心里约热内卢州财政系统 | 被 LOCKBIT 勒索软件攻击 | |
2022.4 [4] | 美国地区政府机构 | 被 LOCKBIT 勒索软件攻击 | |
2022.4 [4] | 中国江西新余市某企业 | 被 LOCKBIT 勒索软件攻击 | |
2022.5 [4] | 富士康墨西哥生产工厂 | 被 LOCKBIT 勒索软件攻击 | |
LOCKBIT 3.0 | 2022.6 [1] | 美国国家安全公司 Entrust | 部分数据被窃取 |
2022.6 [4] | 日本汽车零件制造商丰田纺织旗下公司 TB Kawashima 泰国分销机构 | 被 LOCKBIT 勒索软件攻击 | |
2022.6 [4] | 谷歌威胁情报领域子公司 Mandiant | 被 LOCKBIT 勒索软件攻击 | |
2022.6 [4] | 阿根廷卫生服务网站 OSDE | 被 LOCKBIT 勒索软件攻击 | |
2022.7 [1] | 法国电信运营商La Poste Mobile | 导致部分系统关停,官方网站关停10余天,部分用户信息被公开 | |
2022.7 [2] | 意大利税务机构 | 被 LOCKBIT 勒索软件攻击 | |
2022.8 [4] | 美国安全机构 Sophos | 被 LOCKBIT 勒索软件攻击 | |
2022.8 [4] | 法国巴黎的南法兰西林中心医院(CHSF) | 被 LOCKBIT 勒索软件攻击 | |
2022.9 [2] | 深圳某科技公司 | 被 LOCKBIT 勒索软件攻击 | |
2022.9 [4] | 英国跨国公司 IHG 酒店 | 被 LOCKBIT 勒索软件攻击 | |
2022.10 [4] | 微软 Exchange 服务器 | 被 LOCKBIT 勒索软件攻击 | |
2022.10 [1] | 巴西利亚银行 | 部分数据被窃取,要求支付50 BTC赎金 | |
2022.10 [4] | 日本科技公司 Oomiya IT 基础设施 | 被 LOCKBIT 勒索软件攻击 | |
2022.10 [4] | 英国保险公司 Kingfisher Insurance | 被 LOCKBIT 勒索软件攻击 | |
2022.10 [2] | Pendragon 汽车经销商 | 拒绝了 LockBit 勒索软件 6000 万美元的赎金诉求 | |
2022.11 [2] | IT 服务提供商 Kearney & Company | 被 LOCKBIT 勒索软件攻击 | |
2022.11 [1] | 德国大陆集团 | 窃取约40 GB数据,要求支付5000万美元赎金 | |
2022.12 [1] | 美国加州财政部 | 窃取约76 GB数据 | |
2022.12 [2] | 葡萄牙的里斯本港口 | 被 LOCKBIT 勒索软件攻击 | |
2023.1 [1] | 英国皇家邮政 | 国际出口服务中断,约45 GB数据被窃取,要求支付8000万美元赎金 | |
2023.3 [2] | 美国 Essendant 公司 | 被 LOCKBIT 勒索软件攻击 | |
2023.3 [2] | 美国奥克兰市 | 被 LOCKBIT 勒索软件攻击 | |
2023.6 [1] | 台积电供应商擎昊科技 | 部分数据被窃取,要求支付7000万美元赎金 | |
2023.6 [1] | 加拿大蒙特利尔市电力服务委员会 | 窃取约44 GB数据 | |
2023.10 [1] | 美国波音航空公司 | 窃取约43 GB数据 |
参考链接
[1] LockBit勒索软件样本分析及针对定向勒索的防御思考;MD5,38745539B71CF201BB502437-F891D799
[2] 360 安全 Lockbit 勒索软件分析报告;LOCKBIT 勒索事件解决方案
[3] Lockbit 3.0勒索病毒的手动生成及其加密程序分析;通过已经泄露的 LOCKBIT 构造器生成勒索软件样本
[4] LockBit 勒索软件进阶之路;LOCKBIT 版本演进与技术细节分析
[5] 顶级加密勒索组织LockBit的深度剖析与技战法分析(上篇)
[6] 顶级加密勒索组织LockBit的杀伤链模型与技战法分析(中篇)
[7] 顶级加密勒索组织LockBit的防御方法(参考国外报告);一系列 LOCKBIT 介绍博客
[8] Lockbit2.0勒索病毒样本分析;MD5,0f890d99d7a89506db76866f4a93b771
[10] LockBit 3.0 Analysis: How to Enhance Ransomware and Malware Protection;SHA-256,80e8defa5377018609365b90de0f2957f7062144c83a09a56bba1fe4eda932ce [11] Lockbit leak, research opportunities on tools leaked from TAs;勒索软件构造器泄露