標籤: LockBit

全新 4.0 版本的計劃與背景

2024年12月19日，竣盟科技的暗網研究發現，LockBit 勒索軟體組織宣布計劃於2025年2月3日推出全新版本 LockBit 4.0，預示其試圖重新進入網路犯罪市場，並恢復因全球執法行動而大幅削弱的影響力。

此次 LockBit 4.0 版本的推出，距離 2024 年初的全球執法行動(Cronos Operation)已近一年。該行動對 LockBit 造成了重大打擊，導致其核心成員被捕，並成功追回近 7,000 把解密密鑰，這在一定程度上為許多受害者帶來了救助。隨著此行動的發生，競爭對手如 RansomHub 等迅速崛起，並迅速成為當前市場中最活躍的勒索軟體組織。

LockBit 在其公告中以挑釁的語氣宣稱：“想擁有蘭博基尼、法拉利，甚至更多……女孩嗎？立即加入我們，僅需五分鐘便可開始你的『滲透測試億萬富翁之路』。” 這種言辭不僅凸顯其對受害者的冷酷態度，也揭示了該組織對新成員的招募策略，藉由誘惑與極端的暴利承諾來吸引更多人加入其犯罪行列，進一步擴大其影響力。

LockBit 4.0 的會員平台

該平台提供了一個簡潔且高效的登入介面，用戶可透過幾個簡單的步驟註冊。登入過程中，用戶需輸入使用者名稱、密碼及驗證碼以完成身份驗證。

此登入過程支援兩種主要的付款方式：

1. 比特幣 (BTC) — 最常用於暗網交易的加密貨幣，具備廣泛的接受度和流通性。
2. 門羅幣 (XMR) — 以其卓越的匿名性而聞名，使得交易較比特幣更難以追蹤，增強了隱私保護。

這一雙重支付選項為有意參與的附屬會員提供了更大的靈活性，並顯示出 LockBit 集團在確保交易匿名性與安全性方面的高度重視。

存取費用：777美元

要完全存取 LockBit 4.0 平台並掌握勒索軟體的操作，會員需支付 0.007653 BTC，約合 777 美元。LockBit向任何願意付費的人開放 LockBit 4.0 代表著勒索軟體商業模式的徹底轉變。過去，此類先進工具的存取權限僅限於少數經過挑選且值得信賴的附屬會員。

LockBit 4.0 平台提供什麼？

一旦付款並完成註冊，用戶立即可以存取勒索軟體控制面板。從這個平台可以：

• 為 Windows、ESXi 和 Linux 系統建立自訂勒索軟體版本。
• 以有組織且自動化的方式管理勒索軟體攻擊活動。
• 與受害者溝通協商贖金並處理付款請求。
• 下載高級加密工具以快速有效地鎖定受害者的系統。

挑戰與不確定性：LockBit 能否重振旗鼓？

LockBit 能否成功以 4.0 版本重返網路犯罪的主導地位仍然存在諸多不確定性。該組織過去一年遭遇的重大打擊，包括成員被捕、執法機構的持續追蹤以及解密密鑰的外洩，已經大幅削弱其信譽和市場影響力。

自 LockBit 3.0 推出以來已超過兩年時間。根據執法行動的時點推測，4.0 版本的開發可能涉及對其技術架構的重大改動，尤其是如果執法機構曾獲得部分源代碼，則可能進一步限制其技術迭代的能力。

LockBit 的回歸之路並不平坦，該組織的可信度因與其他勒索軟體即服務（RaaS）組織的激烈競爭而進一步下降。目前市場中，RansomHub、 Hunters International、PLAY等競爭對手已明顯佔據主導地位。

未來展望：是否轉變策略？

隨著 RaaS 模式的擴展，LockBit 的未來行動策略將受到威脅研究員的密切關注，包括其可能選擇改變目標或攻擊地區以減少國際執法機構的壓力。

LockBit 4.0 的推出標誌著其試圖回歸市場的重大一步。然而，面對激烈的競爭環境以及執法機構的不斷施壓，其能否重新獲得市場主導地位，仍需要時間來觀察。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

包含機場自動通關系統遭癱瘓

      雅加達政府對外聲明表示，兩個臨時國家資料中心(National Data Center)設施在上週遭受勒索軟體LockBit 3.0的新變種攻擊造成資料中斷與外洩，導致共有210個中央和地方政府機構的資料庫受到攻擊影響，其中包含哈達國際機場的移民處理系統癱瘓，迫使移民官員進行人工檢查，導致旅客長時間等待的諸多不便。

      通訊部長(Budi Arie Setiadi)告訴國家通訊社(Antara)，攻擊者勒索要800萬美金的贖金，以換取解密數據，並強調政府不會支付或遵守這些要求。

      國家網路和加密機構(National Cyber and Crypto Agency)負責人Hinsa Siburian表示，數位鑑識調查人員發現，攻擊者使用現有惡意軟體Lockbit的新變種勒索軟體Brain Cipher。Lockbit是一種阻止使用者存取電腦系統的勒索軟體，經常被駭客組織Lockbit用於對受害者進行數位勒索。駭客很可能停用了該中心的Windows Defender 安全功能，使他們能夠在不被注意的情況下進入系統，然後使用惡意軟體感染目標系統，刪除重要文件，並停用運行的服務。

      根據印尼當地媒體報導，這次攻擊也影響了學校和大學線上招生平台，迫使地方政府延長註冊期限，據報導該勒索軟體總共中斷至少210個本地服務。

      雖然對於駭客襲擊事件的調查還在進行中，印尼當局表示他們已經「隔離」了受感染的地區，但由於系統已加密，他們可用於分析攻擊的工具有限。截至週一(6月24日)，印尼政府正在努力恢復全國範圍內受影響的公共服務，儘管包括護照和落地簽證處理在內的所有移民服務均正常運作。移民局、海事和投資部已於週一恢復服務，但許多其他城市仍處於恢復過程中。

      通訊和資訊部已經將資料暫時儲存在泗水和雅加達的兩個設施中，同時正在建造新的資料中心，以整合中央和地區各級政府機構的資料。這些設施由上市國有電信公司PT Telkom Indonesia的子公司Telkomsigma營運。

      在警方於二月關閉其勒索網站之前，LockBit是最猖狂的勒索軟體活動之一。僅僅三個月後，網路犯罪分子似乎又復活了它。網路安全分析師Dominic Alvieri 表示，這並不是印尼的資料中心第一次成為駭客的目標。2023年，ThreatSec 組織聲稱入侵了該中心的系統，據稱竊取了包括犯罪記錄在內的敏感資料。印尼另一起影響該國最大伊斯蘭銀行BSI的重大資料外洩事件就是由LockBit造成的。據報導去年5月，駭客竊取超過1500萬BSI客戶和員工的個人資訊。

      網路安全專家Ardi Sutedja告訴「雅加達郵報」表示，政府未能確保國家數位基礎設施達到最高安全標準。從事件的規模來看，這不再只是技術中斷，而是一場巨大的災難。他表示，長達數天的恢復時間令人擔憂，因為數位事件的標準恢復時間不應該超過24小時。

Lockbit的新變種Brain Cipher相關的部分的入侵指標（IOCs）:

9cb96848386327410ca588b6cd5f6401    

968c4ae64dcb71c9eeffd812ef38a69d5548b3bb               

0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086

      據Cyber Express外媒報導國際頭號勒索軟體組織LockBit 聲稱入侵Allied Telesis，並於2024年5月27日洩露了該公司的設計藍圖、護照及機密協議等敏感資料，並宣稱於6月3日將發佈全面的資料。而Allied Telesis公司尚未對外說明證實或反駁所謂的駭客攻擊所造成的公司重要敏感資料外洩事宜。

國外相關執法機構先前於2024 年 2 月曾針對LockBit造成的危害嚴重性，關閉與LockBit操作相關的伺服器、沒收管理面板權證、附屬網路資訊和加密貨幣交易等關鍵行動。迄今顯然沒有嚇阻效用，LockBit目前持續更新在加密工具和伺服器的攻擊手法，持續擴大勒索行徑。

LockBit通常會透過Email、惡意程式下載、釣魚網站或漏洞入侵系統再做橫向移動擴大影響範圍，如此造成的攻擊破壞性強大，利用零時差攻擊成功入侵電腦後便竊取檔案加密，對備份檔案進行刪除，強化威脅力道並以公開敏感機密資料威脅勒索企業或組織，常以加密貨幣作為贖金支付。

      國際虛擬貨幣飆漲，也加劇了加密勒索事件頻繁，最近台灣設備大廠也陸續遭受機密資料被竊取勒索的重大資安威脅。企業除了加強使用者與主機管理者的資安防護警覺外（防火牆版本與設定即時更新、提升密碼設定強度、機密或客戶資料的網域做適當隔離），面對狡猾的LockBit網路攻擊手法，單一的安全防護措施是不足的。

與其被動攻擊不如主動防禦，主動式的資安防護已是當前不可或缺的防禦手法，竣盟科技的主動式欺敵、誘捕的資安防護機制近期陸續為各企業與機關單位所採納與建構，有效的資安防禦才是幫助企業降低資安風險及保護核心資產。

以下提供LockBit相關的部分的入侵指標（IOCs）:

Key Points:

*2/20由執法合作夥伴組成的國際組織表示，中斷了LockBit 勒索軟體的運作，奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作，對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴，指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作，也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰，這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit，歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟，作為克諾司行動(Cronos Operation)的一部分，摧毀了 LockBit 的基礎設施，這是一項為期數月的努力，旨在制止勒索軟體即服務(RaaS)的活動，以消除其犯罪行為。該機構在聲明中表示：“今天，在滲透到該組織的網路後，NCA 已經控制了 LockBit 的服務，從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外，歐洲刑警組織還採取了其他協調行動，包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員，並凍結了與該組織有關的 200 多個加密貨幣帳號。

據歐洲刑警組織稱，這次行動逮捕了兩人，凍結了 200 多個加密貨幣帳號，控制及關閉了34台伺服器，並刪除了 14,000 個流氓帳號。此外，執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前，尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而，支付贖金的受害者現在可能可以收回部分勒索軟體付款，就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前，執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動，重點是該組織的領導人，以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產，」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev（也稱為Bassterlord）於波蘭和烏克蘭被捕。此外，法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示，已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控，他們已被拘留並等待引渡，並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示，已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作，我們已經攻擊了駭客； NCA 總幹事 Graeme Biggar 表示：“控制了他們的基礎設施，奪取了他們的源代碼，並獲得了幫助受害者解密系統的密鑰。”

「截至今天，LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力，尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而，我們知道他們是誰，以及他們如何運作。” 據Eurojust和 DoJ 稱，LockBit 攻擊據信影響了全球 2,500 多名受害者，並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分，執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰，將使受害組織能夠恢復被加密的資料。此外，日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具，並已在No More Ransom平台釋出，將使受害組織能夠恢復被加密的資料。根據NCA，在接下來的2到3天裡，將會有許多消息披露，但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱，執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”，至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認，網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而，駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊，但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時，會收到一條消息，通知他們LockBit平台已受到執法部門的控制，調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料，以及聊天紀錄等。

LockBit是「勒索軟體即服務」模式的先驅，將目標選擇和攻擊外包給半獨立「附屬會員」，為他們提供工具和基礎設施，並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯，該國網路犯罪活動猖獗，而且不引渡本國公民，這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書（首次公開點名），並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年，美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動，因此毫無疑問他們可以重建 LockBit的帝國，然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊，請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”