世界经济论坛发布的《2022年全球网络安全展望》报告显示,勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一,成为全球广泛关注的网络安全难题。天际友盟双子座实验室推出了《勒索软件系列报告》,本系列报告正是以当前最为活跃的勒索软件攻击为主题展开,聚焦暗网中多个活跃的勒索软件组织或团伙,梳理各个勒索软件的发展阶段、剖析关键技术细节、盘点重大攻击事件,对勒索软件组织或团伙进行全面画像,希望为未来应对勒索软件攻击提供有力的参考。
《LockBit勒索软件进阶之路》是本系列报告的第一篇,内容包括背景、LockBit的进阶之路、技术细节剖析、重点攻击国家及行业、重大攻击事件盘点、总结与发展趋势和附录七个章节,以下为报告内容节选。
勒索软件攻击活动猖獗
IBM发布的《威胁情报指数(2022)》报告指出,勒索软件攻击高居网络安全威胁榜首,且一个勒索软件团伙在停止运营或改头换面之前的平均寿命长达17个月。Cyber Security Ventures的分析结果表明,到2022年,全世界每11秒就会发生一次勒索软件攻击,与2019年每14秒一次攻击的预测相比,攻击数量增加了约20%。
随着勒索软件威胁的不断加剧,一旦目标中招,目标受害者可能面临运营中断、机密信息被盗、赎金支付等损失。据Resecurity调查发现,自2020年以来,全球平均勒索软件支付增加了82%,在2021年上半年创下57万美元的历史新高,而到2022年几乎翻了一番。根据预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的总损失将达到10.5万亿美元。勒索软件造成的费用损失将超过自然灾害,并将是信息世界长期存在的威胁。
从以上数据可以看出,勒索软件已成为目前最具威胁的网络攻击,且呈现逐年大规模增加的趋势。同时伴随着勒索软件即服务(RaaS)的出现,使得勒索软件产业越发成熟,攻击者可能无需任何专业技术知识,就可以毫不费力地发起网络攻击和敲诈活动。
LockBit勒索软件脱颖而出
在过去的几年里,一些高调的勒索团伙活动频繁登上新闻头条,其中,LockBit团伙更是脱颖而出,成为其中的佼佼者。Malwarebytes公司在最近发布的一份研究报告声称LockBit是目前全球最猖獗的一个勒索软件团伙。
这篇报告我们就来详细介绍一下这个目前最为活跃的勒索团伙——LockBit。LockBit也被称为Bitwise Spider,起源于俄罗斯,遵循RaaS运营模式,赎金由 LockBit 开发人员团队和发起攻击的会员分配,后者最多可获得 3/4 的赎金,且后期主要采用“双重勒索”策略(文件加密+数据披露)来敲诈受害者。LockBit目前攻击的受害者数量已高达一千多个,约为著名勒索团伙Revil的5倍,Conti的2倍。此外,网络安全供应商Digital Shadows的报告显示,在2022年第二季度勒索软件攻击事件中,LockBit占到了33%。今年6月,Unit 42发布报告称,截至5月份,LockBit贡献了2022年所有勒索软件相关攻击事件中的46%,导致全球850多家组织沦为受害者,可见其威胁之大。
LockBit团伙的同名恶意软件于2019年首次浮出水面,由于其不断采用新的策略、技术和支付方式,经不断发展和演变,现已成为勒索软件领域作案最为频繁的威胁团伙之一。为有效抵抗该勒索软件的攻击,我们需要了解LockBit勒索软件的变化之路,预测其未来发展趋势,以便更好的抵御其攻击。
在安全领域的不断对抗中,勒索软件通常需要不断变种升级。作为现今最活跃的勒索软件,LockBit从2019年至2022年,可谓经历了三次重大蜕变。
LockBit 1.0 初出茅庐
2019年9月,勒索病毒“LockBit”首次暴露在大家的视野中,此前由于加密文件扩展名为.abcd,也被称为“ABCD病毒”。LockBit 1.0 于2020年初推出了RaaS联盟计划,并在当年增加了数据泄露勒索,但由于其运营刚刚起步,影响范围较小。
LockBit 1.0针对Windows系统,采用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集以提升工作效率,从而实现高性能加密流程。加密文件结束后,文件均被添加.abcd扩展后缀,且无法解密。成功加密文件后,该勒索软件修改受害者系统桌面壁纸以显示勒索信息,并留下名为Restore-My-Files.txt的勒索信(如图1),要求用户登录暗网缴纳赎金,且赎金须为比特币和门罗币两种形式。
LockBit 2.0 大杀四方
经过不断的演变,2021年6月,LockBit以LockBit 2.0的新面貌展现在公众面前。自LockBit 2.0发布后,有关LockBit的攻击活动明显增加,且LockBit 2.0是2021年以来最具影响力和最活跃的勒索软件家族之一。
随着 Linux-ESXI Locker 1.0 版的发布,LockBit 扩展到 Linux 主机, 同时支持Windows和Linux操作系统。该变种与一代相比,功能行为十分相似且攻击手法依旧延续之前的特点,加密方式仍然采用常见的RSA+AES组合。加密后文件扩展名均为.lockbit 。此外,LockBit勒索团伙号称LockBit 2.0是全世界加密速度最快的勒索软件,一分钟内大约可以加密25,000个文件。其加入的磁盘卷影和日志文件删除等新功能,使得加密后文件更难恢复。与此同时,LockBit 2.0推出了专用窃密木马StealBit,该工具可将获得的数据直接上传到 LockBit的服务器,以对受害者进行双重勒索攻击。其窃取速度极快,20分钟可窃取100GB数据并且具备在域控内自动传播的能力。
成功加密后,LockBit 2.0版本的勒索软件侵入受害者的电脑后同样会更换电脑壁纸,并留下名为Restore-My-Files.txt的勒索信(如图2),内容稍有不同,但均要求受害者访问他们在暗网的页面。
在 LockBit 团队的宣传中,LockBit 2.0版本提供了更加丰富的配套服务。如:Tor 网络中的管理面板、自动进行解密测试服务、强大的扫描器功能等。
LockBit 3.0 更进一步
2022年6月,LockBit勒索软件再次完成升级,并于2022年7月推出LockBit 3.0正式版本。该勒索病毒3.0版本推出来仅2个多月的时间,就在其暗网网站上公布了二百多个受害者,可见其攻击频率之高。
LockBit 3.0部分代码似乎借鉴了BlackMatter勒索软件,因此LockBit 3.0又被称为LockBit Black。该勒索软件持续针对Windows+Linux系统,采用AES+RSA算法加密文件,更改桌面墙纸(如图3),但赎金票据不再名为Restore-My-Files.txt,而是一个名为“ [random_string].README.txt ”)的随机动态文本(如图4),加密扩展名变化为“HLJkNskoq”或“19MqzqzOs”随机静态形式,且锁定文件的图标为ico形式。
随着LockBit 3.0版本的发布,该勒索软件团伙还引入了第一个漏洞赏金计划, 对提供漏洞的安全人员给予奖励。同时还为LockBit 3.0设立了新的暗网网站,并增加了Zcash加密货币支付手段。
LockBit 三个版本对比
LockBit勒索软件的攻击过程大致可以分为初始入侵、深入渗透及目标达成三个阶段。
初始入侵
在以往活动中,LockBit 运营商主要采用了三种策略获取初始访问权限。
第一招为单刀直入式。攻击者从地下论坛或关联公司处购买RDP账户,也通过暴力破解RDP账户或内部服务器的方式直接远程登录目标用户系统。
第二招为迂回包抄式。攻击者采用社会工程学策略,通过开展钓鱼活动,向目标用户发送带有恶意附件的网络钓鱼电子邮件,冒充受信任的个人或权威机构请求访问凭据或间接诱导受害者下载可安装其它恶意软件的有效负载。
第三招为大刀阔斧式。攻击者借助大规模的漏洞扫描行动定位潜在目标,利用流行的应用程序漏洞(例如最常被利用的Fortinet VPN的CVE-2018-13379 漏洞)提升权限后获取初始感染机会。
值得注意的是,LockBit为躲避法律制裁,会特意避开俄罗斯或独联体的其他国家。
深入渗透
据研究调查,LockBit在加密数据之前通常在企业环境中潜伏很长时间。在此阶段,LockBit将进一步提升权限,探测内部网络敏感数据,扩大感染面以加大受害者缴纳赎金的机率。
获取初始访问权限后,LockBit 勒索软件便开始独立运作并进行深入渗透。其首先通过Powershell Empire 和Windows命令行或诱饵文件得以加载执行。为实现持久性,其通常会在受害者系统上使用混淆的 PowerShell 、批处理脚本或执行创建恶意的计划任务操作。为进一步扩大感染面,LockBit主要通过各种工具来扩展他们对其他系统的访问权限。例如利用 Mimikatz 凭证转储工具、ProxyShell 等权限提升工具进一步窃取如域管理员账户在内的特权凭据。与此同时,AdFind等网络和端口扫描工具常被LockBit 用于定位域控制器以枚举受害者网络中连接的机器。一旦LockBit利用收集到的凭据进入域控制器,其将使用 Active Directory 组策略通过 SMB 连接传播到其他系统。在某些情况下,它也会依靠PsExec 或 Cobalt Strike 等远程执行软件在网络中进行横向移动。执行时,勒索软件将禁用 Windows 卷影副本,并删除各种系统和安全日志。当然,这一切都基于恶意软件不被查杀的情况。为了躲避受害者系统安全防护产品的检测,LockBit通常会利用GMER、PC Hunter 和Process Hacker等工具禁用安全软件,或直接利用域管理员权限创建组策略的操作来关闭系统防护。此外, 它还通过伪装成常见的PNG图像文件格式来隐藏可执行文件,进一步欺骗系统防御。
目标达成
LockBit在感染多台主机后就到了实施加密和渗出的关键步骤。
加密环节,LockBit会收集例如主机名、域信息、本地驱动器配置、远程共享和挂载的存储设备等系统信息,然后开始加密其可以访问的本地和远程设备上的所有数据。但是,它会跳过影响系统运行的文件。加密过程采用AES算法加密文件,并使用RSA 公钥对 AES 密钥进行加密,其中 AES 密钥由BCryptGenRandom生成。加密后受害者只能通过LockBit专有解密工具解锁其系统文件。LockBit最后将会通过连接的打印机使用WinSpool API打印其勒索票据,并且修改桌面壁纸以警告受害者已遭受勒索攻击。
渗出环节,LockbBit通过MEGA或FreeFileSync等云存储工具上传获取的文件,有时也会使用 StealBit 窃密木马盗取用户数据文件以执行双重勒索操作迫使受害者缴纳赎金。
通过对公开报道的LockBit重大勒索事件数据进行统计(如图5)可以看出,目前,LockBit勒索软件攻击范围遍及北美、欧洲和亚太地区,似乎并无国界之分。其中,美国、法国、英国、中国等国家为重灾区。
此外,LockBit的攻击目标并不局限于某一特定组织,其目标行业来自各行各业(如图6),且尤其青睐软件和信息技术、制造、政府、网络安全、国防等关键行业。值得让人思考的是,此前LockBit团伙声称他们不会攻击医疗保健行业,但数据表明,该团伙的言行明显自相矛盾。
据分析可得出,LockBit勒索软件团伙及其附属机构实质上为机会主义攻击者,其对攻击目标的选择,通常与地理区域或行业无关,可能与目标网络的可达性、攻击成功的机会、以及受害者支付大额赎金的能力等因素有关。
近两年LockBit重大攻击事件记录表:
LockBit团伙采用RaaS的商业模式,通过不断构思新策略,已将自己打造为地下犯罪组织中最专业的犯罪团伙之一。相关证据表明,它的一些附属运营团伙大力推广 RaaS业务,这有助于其不断进行创新并继续提高针对全球企业目标的能力,其家族规模和影响力在未来时间里也将持续扩大。就其最新发布的漏洞赏金计划而言,会更加助力其利用相关漏洞在勒索攻击中大展身手。此外,LockBit团伙并没有将针对大型企业的攻击进行高调宣传,持续保持相对低调的姿态,且特意避开独立国家联合体(CIS)国家的攻击特点使得它在未来很长一段时间里将会继续保持活跃。LockBit勒索软件在全球泛滥,对国内的组织或企业也有一定的影响,但是鲜少有公开披露的事件,因此我们仍需对LockBit勒索团伙保持高度警惕。
![勒索软件系列报告之一丨LockBit勒索软件进阶之路]( "勒索软件系列报告之一丨LockBit勒索软件进阶之路")
一直以来,天际友盟秉承“创造安全价值”的理念,致力于提供全生命周期的数字风险防护服务,为客户的数字化业务保驾护航。天际友盟以专注的威胁情报技术研究能力为支撑,以成熟多样的产品与服务落地,将数字风险防护的价值应用到众多客户的多样行业场景之中。
![勒索软件系列报告之一丨LockBit勒索软件进阶之路]( "勒索软件系列报告之一丨LockBit勒索软件进阶之路")
天际友盟技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对威胁情报、数字风险、大数据分析、人工智能等领域有着深入的了解和丰富的实践经验。
天际友盟目前在北京、上海、深圳、广州、珠海、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,为全国各地的客户及合作伙伴提供及时、高效、优质的服务。
了解更多内容请访问:https://www.tj-un.com
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行
黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行
昆仑银行 | 绵阳市商业银行 | 中泰证券 | 辉腾金控
安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货
国家电网 | 核工业计算机应用研究所 | 顺丰速递
一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动
火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z
原文始发于微信公众号(天际友盟):勒索软件系列报告之一丨LockBit勒索软件进阶之路
评论