竣盟科技在9月1日發現LockBit2.0的揭秘網站上,刊登了台灣某製造業的資料,根據描述,該公司為亞洲最大的成衣副料商之一,提供知名戶外運動品牌各種輔料及配件,根據受害公司的官網,其營業據點包含台北、台中、北京,在桃園,蘇州及越南也有設廠。操作LockBit2.0的背後駭客將於9月7日在其揭秘網站上發佈從該公司盜來的資料,但未有透露竊取的資料量和勒索贖金額。
LockBit 2.0勒索軟體最近異常的活躍
2021年6月,LockBit大改版升級為LockBit 2.0,瞄準的企業數量比以往更多,攻擊的地區和產業別也更廣泛,在受害企業中當中不泛一些國外資安媒體沒有報導的台灣鄰國,如日本、馬來西亞、星加坡、越南等,可見LockBit2.0對亞洲區不斷伸出毒手。
8月初IT顧問公司Accenture和近日泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心(ASCS) 在8月發布警報,已觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動。LockBit 2.0為了與其他勒索軟體即服務(Ransomware-as -a -Service;RaaS) 的競爭對手相比,新增了名為StealBit的竊密功能,將自己定位為當今加密最快、最有效率的勒索軟體,可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據。此外,LockBit 常利用被外洩的遠端桌面協定(RDP)或 VPN 賬戶進入企業內部網路。在7月份,BleepingComputer的報導中,指出研究人員已發現,LockBit 2.0能利用Windows 群組原則(Group Policy),自動感染 Windows 網域控制站旗下所有電腦的功能,不必額外寫程式碼進行勒索軟體部署,只要取得 Windows Server 網域控制器的存取權,勒索軟體就能夠在網域內傳播。LockBit 2.0在執行時,會自動産生新的群組原則設定檔,並能禁用 Microsoft Defender 的即時防護功能,以逃避檢測。
另外,LockBit2.0的背後駭客為了提高他們的形象並吸引更多的會員(Affiliate),其發言人“LockBitSupp”在最近接受了俄羅斯OSINT的 YouTube 頻道採訪,在採訪過程中,不斷讚揚他們的營運計劃,並表示每筆贖金的 80% 是用來支付給會員的。LockBitSupp 還進一步表示,他們會持續研發、改進惡意軟體和其他工具,使攻擊不僅更快,而更自動化。
有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):
LockBit2.0 Tor Domains:
hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion
hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion
SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a
SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36
MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
MD5: 0dd0cb0eda6374e48e6cc403151ac5ba
SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574
SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f
SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a
SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565
SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa
SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a