號稱史上加密速度最快的勒索軟體LockBit2.0又來襲,新北市某上市工程公司遭其毒手, 10月6日竣盟科技在LockBit2.0的揭秘網站上,發現某工程公司的資料,據了解,LockBit2.0在10月3日發布有關該公司的受害者頁面,並聲稱會在10月9日公開盜來的數據,但目前仍沒看到任何疑似外洩的檔案作為攻擊的證據,也不知道LockBit2.0獲取了多少數據和要求的勒索贖金額,另外,目前也尚不清楚LockBit2.0是如何入侵該公司以及安全漏洞是何時發生,該公司在近期發布之重大訊息中並也沒有包含任何資安事件。
與其他操作勒索軟體組織一樣,LockBit 2.0 實施了把勒索軟體當成一種服務販售的運作方式,也就是勒索軟體即服務(Ransomware-as-a-Service;RaaS),同時也會招募會員(Affiliate)並維護會員的網路。 LockBit勒索軟體自2019年9月始一直活躍,直到2021 年 6 月宣布推出LockBit 2.0 RaaS計劃。LockBit對外表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。
另外,根據外媒的報導,LockBit2.0最近的受害者名單包括以色列航空與國防公司 EMIT Aviation Consulting Ltd、 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他數十家公司,可見LockBit2.0發動攻擊的趨勢沒有下滑,仍異常的活躍,
8月初IT顧問公司Accenture和8月底泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心 (ACSC) 在今年8 月警告稱 ,從 7月開始它們觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動,攻擊數量持續上升。9月初,發現台灣某製造業大廠中了LockBit2.0,今在一個月內又發現我國企業遭同一勒索軟體入侵,可見LockBit2.0值得我們高度關注。
竣盟科技建議針對勒索軟體的應對措施:
*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。
有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):
LockBit2.0 Tor Domains:
hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion
hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion
SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a
SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36
MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
MD5: 0dd0cb0eda6374e48e6cc403151ac5ba
SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574
SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f
SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a
SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565
SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa
SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a