事件介绍

‍

LockBit事件时间线

LockBit 于 2019 年 9 月首次被观察到。 LockBit 2.0时代 LockBit 2.0 出现于 2021 年，并因同年对Accenture 的攻击而成为人们关注的焦点，其中可能有内部人士帮助该组织进入网络。LockBit 公布了此次攻击中被盗的一些数据。 2022 年 1 月，电子集团泰雷兹成为 Lockbit 2.0 的受害者之一。 2022 年 7 月，法国邮政移动的行政和管理服务遭到攻击。 2022 年 8 月，德国设备制造商大陆集团遭受 LockBit 3.0 组织的勒索软件攻击。2022 年 11 月，在赎金要求未得到回应的情况下，该黑客组织公布了部分被盗数据，并以 5000 万欧元的价格提供了对全部数据的访问权限。被盗数据包括集团员工的私生活以及与德国汽车制造商的交流。除了窃取数据之外，危险还在于为工业间谍活动开辟道路。事实上，与大众汽车的交流包括IT方面，从自动驾驶到娱乐，大众汽车希望大陆集团投资这些领域。 2022 年 9 月，该组织的黑客声称对 28 个组织进行了网络攻击，其中 12 个组织涉及法国组织。其中，Corbeil Essonnes医院成为目标，索要1000万美元的赎金。 2022 年 10 月，Lockbit 组织声称对英国汽车零售商集团Pendragon PLC的攻击负责。解密文件且不泄露其内容的赎金为 6000 万美元。 2022年10月31日，Lockbit黑客组织声称对泰雷兹集团进行了第二次攻击，并未索要赎金，但显示了截至11月7日的倒计时，届时数据将被公布。该黑客组织向受盗窃影响的泰雷兹客户提供了帮助，以便对泰雷兹这个“极大无视保密规则”的组织提出投诉。2022年11月10日，LockBit 3.0组织在暗网上公布了被盗信息。9.5 GB 档案包含有关意大利和马来西亚泰雷兹合同的信息。 2022 年 11 月，OEHC（Office d'Equipement Hydraulique de Corse）成为网络攻击的受害者，该攻击对该公司的计算机数据进行了加密。该黑客组织提出了赎金要求，但 OEHC 没有回应。 2022 年 12 月，Lockbit 黑客组织声称对加州金融管理局的攻击负责。州长办公室承认自己是袭击的受害者，但没有具体说明袭击的规模。Lockbit 声称窃取了 246,000 个文件，总容量为 75.3 GB。 2022年12月，该黑客组织声称袭击了里斯本港口。赎金定为 150 万美元，将于 2023 年 1 月 18 日之前支付。 2022 年 12 月 18 日，一群黑客袭击了多伦多病童医院。在意识到自己的错误后，该黑客组织停止了攻击，道歉并提供了免费的解决方案来恢复加密文件。 LockBit 3.0时代

2023年5月16日，该黑客组织声称对攻击中国报纸《中国日报》香港分社负责。这是该黑客组织首次攻击与中国电力相关的公司。Lockbit 不会攻击俄罗斯势力，也避免攻击俄罗斯势力的盟友。 2023 年 5 月，该黑客组织声称对 Voyageurs du monde 的攻击负责。该黑客组织从该公司的客户档案中窃取了约 10,000 份身份证明文件。 2023 年 6 月，美国司法部宣布对俄罗斯公民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫 (Ruslan Magomedovich Astamirov) 提出刑事指控，罪名是他涉嫌作为附属机构参与 LockBit 勒索软件活动。指控称，阿斯塔米罗夫直接对受害者实施了至少五次勒索软件攻击，并收到了部分比特币赎金。 2023 年 6 月底，台积电集团成为其供应商之一勒索软件攻击的受害者。LockBit 要求支付 7000 万美元的赎金。 2023 年 7 月，Lockbit 攻击了日本名古屋港，该港处理着该国 10% 的贸易。此次袭击迫使集装箱运营关闭。 2023年10月，Lockbit声称窃取了波音公司的敏感数据。波音公司承认，他们在几天后意识到网络事件影响了其部分零部件和分销业务，但并未影响飞行安全；他们没有透露嫌疑袭击者的姓名。 2023年11月，Lockbit攻击了中国xxxx银行美国子公司。彭博社报道称，xxxx银行美国分行当时被认为是全球资产规模最大的银行。 2023 年 11 月，Lockbit 将该组织一个月前从波音公司窃取的内部数据发布到互联网上。 2023 年 11 月，Lockbit 团伙攻击了芝加哥贸易公司， 点评：战绩斐然。

LockBit技战法总结‍‍‍‍

LockBit 运营商经常通过利用易受攻击的远程桌面协议(RDP) 服务器或从其他渠道购买凭据来获得初始访问权限。初始访问包括带有恶意附件或链接的网络钓鱼电子邮件、暴力破解弱 RDP 或 VPN 密码以及利用Fortinet VPN中的 CVE-2018-13379 等漏洞。

一旦进入系统，LockBit 勒索软件通常会通过命令行参数、计划任务或PowerShell Empire 等PowerShell 脚本执行。LockBit 使用Mimikatz 、GMER、Process Hacker 和注册表编辑等工具来收集凭据、禁用安全产品并逃避防御。它使用高级端口扫描器等扫描器枚举网络连接来识别域控制器等高价值目标。

对于横向移动，LockBit 使用之前收集的凭据通过网络内部的 SMB 文件共享连接进行传播。其他横向移动技术包括通过受损的组策略对象进行自我分发，或使用 PsExec 或Cobalt Strike等工具。

LockBit 的勒索软件负载使用 AES 和 RSA 加密对文件和网络共享进行加密。它仅加密每个文件的前几 KB 以加快处理速度，并添加“.lockbit”扩展名。LockBit 还用招募附属机构的赎金票据替换了桌面壁纸。它可以将赎金票据打印到连接的打印机上。其目标是破坏系统并限制勒索赎金。

点评：传统型技术选手，主要针对已知漏洞攻击。

LockBit时代结束

‍‍‍‍‍‍‍‍‍‍‍

点评：后台还是比较新颖简单实用（比靶场平台还精简），没想到还做了一个数据统计，很有商业开发逻辑。

彩蛋‍

按照套路最后应该最后开盒密钥结果点进去会是这个样子！

译文

为此行动的一部分，我们已经获得了对Lockbit的关键基础设施的独特访问权限，英国国家犯罪局（NCA）和我们的合作伙伴共同拥有大量与Lockbit源代码和活动相关的情报。作为我们的响应，根据您所在的位置，点击下面的链接，我们将努力支持解密您在此组织的攻击中受损的数据。您可以恢复重要的文件！

在联系时，请提供以下信息以帮助我们支持您：

• 公司/组织名称以及攻击的域（如果有）
• Lockbit在勒索通知中提供的解密或描述ID
• 攻击发生的时间
• 是否向执法部门报告了案件。如果是，请提供参考信息
• 联系人姓名、电子邮件和电话号码

链接：