LockBit 勒索軟體組織透過 4.0 版本策劃強勢回歸

全新 4.0 版本的計劃與背景

2024年12月19日,竣盟科技的暗網研究發現,LockBit 勒索軟體組織宣布計劃於2025年2月3日推出全新版本 LockBit 4.0,預示其試圖重新進入網路犯罪市場,並恢復因全球執法行動而大幅削弱的影響力。

此次 LockBit 4.0 版本的推出,距離 2024 年初的全球執法行動(Cronos Operation)已近一年。該行動對 LockBit 造成了重大打擊,導致其核心成員被捕,並成功追回近 7,000 把解密密鑰,這在一定程度上為許多受害者帶來了救助。隨著此行動的發生,競爭對手如 RansomHub 等迅速崛起,並迅速成為當前市場中最活躍的勒索軟體組織。

LockBit 在其公告中以挑釁的語氣宣稱:“想擁有蘭博基尼、法拉利,甚至更多……女孩嗎?立即加入我們,僅需五分鐘便可開始你的『滲透測試億萬富翁之路』。” 這種言辭不僅凸顯其對受害者的冷酷態度,也揭示了該組織對新成員的招募策略,藉由誘惑與極端的暴利承諾來吸引更多人加入其犯罪行列,進一步擴大其影響力。

LockBit 4.0 的會員平台

該平台提供了一個簡潔且高效的登入介面,用戶可透過幾個簡單的步驟註冊。登入過程中,用戶需輸入使用者名稱、密碼及驗證碼以完成身份驗證。

此登入過程支援兩種主要的付款方式:

  1. 比特幣 (BTC) — 最常用於暗網交易的加密貨幣,具備廣泛的接受度和流通性。
  2. 門羅幣 (XMR) — 以其卓越的匿名性而聞名,使得交易較比特幣更難以追蹤,增強了隱私保護。

這一雙重支付選項為有意參與的附屬會員提供了更大的靈活性,並顯示出 LockBit 集團在確保交易匿名性與安全性方面的高度重視。

存取費用:777美元

要完全存取 LockBit 4.0 平台並掌握勒索軟體的操作,會員需支付 0.007653 BTC,約合 777 美元。LockBit向任何願意付費的人開放 LockBit 4.0 代表著勒索軟體商業模式的徹底轉變。過去,此類先進工具的存取權限僅限於少數經過挑選且值得信賴的附屬會員。

LockBit 4.0 平台提供什麼?

一旦付款並完成註冊,用戶立即可以存取勒索軟體控制面板。從這個平台可以:

  • 為 Windows、ESXi 和 Linux 系統建立自訂勒索軟體版本。
  • 以有組織且自動化的方式管理勒索軟體攻擊活動。
  • 與受害者溝通協商贖金並處理付款請求。
  • 下載高級加密工具以快速有效地鎖定受害者的系統。

挑戰與不確定性:LockBit 能否重振旗鼓?

LockBit 能否成功以 4.0 版本重返網路犯罪的主導地位仍然存在諸多不確定性。該組織過去一年遭遇的重大打擊,包括成員被捕、執法機構的持續追蹤以及解密密鑰的外洩,已經大幅削弱其信譽和市場影響力。

自 LockBit 3.0 推出以來已超過兩年時間。根據執法行動的時點推測,4.0 版本的開發可能涉及對其技術架構的重大改動,尤其是如果執法機構曾獲得部分源代碼,則可能進一步限制其技術迭代的能力。

LockBit 的回歸之路並不平坦,該組織的可信度因與其他勒索軟體即服務(RaaS)組織的激烈競爭而進一步下降。目前市場中,RansomHub、 Hunters International、PLAY等競爭對手已明顯佔據主導地位。

未來展望:是否轉變策略?

隨著 RaaS 模式的擴展,LockBit 的未來行動策略將受到威脅研究員的密切關注,包括其可能選擇改變目標或攻擊地區以減少國際執法機構的壓力。

LockBit 4.0 的推出標誌著其試圖回歸市場的重大一步。然而,面對激烈的競爭環境以及執法機構的不斷施壓,其能否重新獲得市場主導地位,仍需要時間來觀察。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

日本德島縣鳴門市醫院遭LockBit 2.0 入侵,醫院網路異常,導致電子病歷無法存取,醫院緊急停收新病患

據多家日本媒體報導和德島縣鳴門山上醫院(Naruto Yamakami Hospital)的官網在6月20日的宣布,確認於6月19日晚,遭遇LockBit 2.0勒索攻擊,電子病歷和院內網路無法使用,醫院已緊急停止接收新的門診病人,但沒有影響住院患者的醫療和護理。

根據醫院的說法,攻擊發生在19日下午5點40分左右,醫院裡的一台連接網路的印表機印出大量英文的勒索信,同時電腦自動重啟,緊接著發現電子病歷系統無法使用。醫院聯繫縣警察和系統供應商。經過調查,確認感染LockBit 2.0勒索軟體,目前在政府和相關組織的支援下,正在檢查病患的個人資否外洩並努力恢復其系統。

鳴門山上醫院在官網宣布,遭LockBit 2.0勒索軟體攻擊

值得一提的是,據竣盟科技的觀察,LockBit2.0並沒有在其揭秘網站上,將德島縣鳴門山上醫院列為其受害者,推估雙方的談判可能仍在進行中。另外,如下圖所示,觀察到負責生產新幹線、日本航空和TOYOTA的座椅製造商TB川島株式會( TB TB kawashima Co Ltd.);新加坡的能源開發商Equis Development和印尼上市天然氣公司PT Medco Energi Internasional TBK(MEDC)出現在LockBit 2.0的受害者名單,顯示它們可能已被 LockBit 2.0 入侵。

由於TB川島株式會不僅是豐田的供應商,更是豐田附屬零部件製造商豐田紡織(Toyota Boshoku)的子公司,因此獲得媒體關注,日媒日経Tech就LockBit 2.0的攻擊提問TB川島株式會,但沒有得到回應。目前TB川島株式會的官網顯示維護中的狀態,如下圖:

日本德島縣鳴門市醫院遭LockBit 2.0入侵,是該縣第二起醫院資安事件,去年 10 月,在德島縣鶴木市半田醫院同樣遭受了LockBit 2.0勒索攻擊,導致電子病歷和會計等所有系統都處於中斷狀態,85,000名患者的數據及備份被加密,大約兩個月無法提供常規醫療服務。

有關LockBit 2.0的”部分”入侵指標(Indicator of compromise -IOCs):

IP address:

139.60.160.200

93.190.139.223

45.227.255.190

Hashes:

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”