2023 年3月16日,三個美國政府機構,聯邦調查局 (FBI)、網路安全暨基礎安全局(CISA) 以及跨州資訊共享分析中心 (Multi-State Information Sharing and Analysis Center,MS-ISAC) 聯手發布了針對勒索軟體LockBit 3.0的資安通告(Cybersecurity Advisory),旨在為網路防禦者提供他們所需的情報,當中包括LockBit3.0 的各種攻擊策略、技術及程序(Tactics, Techniques, and Procedures, TTPs)及其入侵指標(Indicators of Compromise,IOC)。
根據該資安通告,自 2020 年 1 月以來,LockBit一直以基於勒索軟體即服務 (Ransomware As a Service,RaaS) 模式運作,針對廣泛的企業和關鍵基礎設施實體,LockBit3.0也稱為 LockBit Black,與LockBit及LockBit2.0的變種相比具有更加模組化的架構,並支援在部署後修改其行為的各種參數。為了規避分析和檢測,LockBit 3.0安裝程式被加密,並只有在提供密碼的情況下才能執行。一個典型的例子是 LockBit 3.0 接受橫向移動和重新啟動到安全模式的特定操作需附加參數,如果 LockBit成員無法存取”無密碼”的LockBit 3.0 勒索軟體,則必須在執行勒索軟體時提供密碼參數。未能輸入正確密碼的 LockBit 3.0 成員將無法執行勒索軟體,密碼是解碼 LockBit 3.0 可執行檔的加密金鑰。
在觀察到的 LockBit 3.0 攻擊中,初始入侵管道是通過遠端桌面協議 (RDP)、路過式攻擊、網路釣魚、洩露的憑證以及利用面向公眾的應用程序公式中的漏洞而獲得的。然後,惡意軟體會嘗試提升權限、收集系統資料、終止特定進程和服務、啟動命令、啟用自動登錄以實現持久性以及刪除日誌、回收檔案和刪除系統還原備份的資料等。勒索軟體使用寫死的憑證清單橫向移動到網路中,還可以通過伺服器訊息區塊 (SMB)通過群組策略對象和 PsExec 進行傳播。然後,LockBit 3.0會加密本地和遠端設備上的所有檔案,留下勒索信,並將牆紙和圖標更改為其品牌。該過程完成後,惡意軟體會從機器中刪除自身。
作為觀察到的攻擊的一部分,LockBit 3.0 的操作員使用名為StealBit(一種從LockBit 2.0 時期已經使用的自訂義滲漏工具)、Rclone (一個命令列雲端儲存同步程式)及公開可用的檔案共享服務例如 MEGA,來外洩敏感數據。
美國FBI、CISA以及MS-ISAC提供以下緩解措施和安全控制,以防止和減少LockBit3.0的威脅影響:
備份
*在獨立、分段、安全位置上維護重要數據和伺服器的多個備份,以實現恢復和維護離線備份
*確保備份數據加密且不可變
*練習從備份中恢復
帳戶和存取控制
*遵循強密碼實踐和管理
*要求在盡可能多的服務上使用抗網路釣魚多的因子身份驗證,至少在那些存取關鍵系統的帳戶和服務上
*審計具有管理員權限的帳戶,並採用“最小權限原則”的方法進行存取控制
*檢查網域控制器、伺服器、工作站和活動目錄中的未識別帳戶或新帳戶
*使更高級別的存取權限基於時間,以便僅在完成特定任務所需的時間內授予存取權限
防禦
*定期及時修補韌體、操作系統和軟體
*優先緩解已知被利用的漏洞
*分段網路,以阻止勒索軟體的傳播
*禁用命令行和腳本活動和權限,以減少勒索軟體參與者橫向移動和提升特權的能力
減少攻擊面
*使用網路監控工具“識別、檢測和調查異常活動”以及勒索軟體參與者的潛在橫向移動
*使用並定期更新防病毒軟體,並開啟實時檢測功能
*禁用未使用的端口
*禁用收到的電子郵件中的超連結,並在電子郵件中添加banners,以提醒收件人是否從組織外部發送電子郵件。
聯合資安通告中有更詳細的建議和解釋:
https://www.cisa.gov/sites/default/files/2023-03/aa23-075a-stop-ransomware-lockbit.pdf