標籤: LockBit3.0

3月29日，LockBit勒索軟體集團在其揭秘網站上張貼了關於韓國國家稅務的頁面，聲稱已功入侵該機構並將於韓國時間4月1日晚上8時公開盜取得來的數據。不過與其他攻擊案例不同的是，此次並沒發布機構圖片、相關內容和樣本等，引發外界的好奇及揣測。

根據韓國多家媒體的報導，韓國國稅局駁稱LockBit的說法不屬實，稱目前還沒有任何資料外洩的情形。國稅局進一步解釋，稅務資料單獨存儲在未連網的內部網路中，並沒有外部入侵的跡象。此外還補充說明，目前尚無已知事件表明國稅局職員已打開任何電子郵件而遭勒索病毒感染，國稅局也稱LockBit沒有正式向其聯繫要求任何的贖金。

韓媒稱，國稅局隸屬經濟及財政部，如果此次入侵屬實將可造成嚴重的影響。韓國資安公司S2W特別呼籲，隨著針對南韓網路威脅不斷加劇，攻擊者掌握了韓國的資安應對方法和水平，組織需做出更強而有力的回應。此次之前，LockBit勒索軟體在2022年7 月 入侵了局意大利國稅局 (L’Agenzia delle Entrate)，聲稱竊取了100MB數據並在其揭秘網站上公開一些樣本作為攻擊的證明。

2023 年 3 月，美國FBI、CISA及MS-ISAC共同發佈了LockBit3.0勒索軟體的資安通告，該警報概述了入侵指標和緩解建議。這些建議包括：

*遵循強密碼實踐和管理

*啟用防網絡釣魚的多重身份驗證 (MFA)

*分段網路以防止惡意軟體橫向移動

*禁用未使用的端口

*禁用命令行和腳本操作的權限

*保持離線備份，對其進行加密並定期維護

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

台灣汽機車機電系統整合大廠及觸控面板大廠疑遭駭

12月12日LockBit勒索軟體集團一口氣列出十家遭其入侵的企業，以國家來劃分，當中台灣、日本、墨西哥及越南各佔了兩家，委內瑞拉及美國各佔一家，可見LockBit已有鎖定亞洲的趨勢。

據LockBit的聲稱，台灣某汽機車機電系統整合大廠為其12/12公布的受害企業之一，該整合大廠為國內外提供排放控制解決方案、機電一體化（OEM）代工服務等服務，工廠遍布福建、上海、印度、越南及桃園等地。LockBit給與13天的談判時間，如雙方沒達到合作成共識，受害企業的數據將在聖誕節當天被公開。另外，另一受害企業為觸控面板大廠，生產電容式觸控面板、薄膜按鍵觸控面板，電阻式觸控面板等， LockBit聲稱將在12月22日公布觸控面板大廠的相關資料，目前尚未不清楚這兩家公司有多少數據被盜。

根據竣盟科技的統計，從2022年6月LockBit的版本升級至3.0以來，我國出現超過十家遭LockBit.30攻擊的受害公司，製造業為最常被攻擊的目標。

LockBit 3.0的版本的顯著功能，包括：

*逃避 Anti-virus 和 EDR 系統的反檢測機制

*啟動時都需要一個獨有的 32 個字符的密碼，這可產生反分析功能

*LockBit 3.0 要求在執行時提供參數作為存取權杖

*新版本比舊版本更具規避性，速度更快

*增加了新的anti-debug功能

*還存在用於禁用 Windows Defender 和調試 Windows 事件日誌的機制。

執行後，LockBit 3.0 會嘗試禁用 Windows Defender 以防止其檢測，如上所述。

竣盟科技建議您:

*使用多因素身份驗證來保護員工的帳戶

*執行每日備份並保持離線狀態以避免丟失數據

*通過建立獨立的網段、清晰的訪問層次結構以及活動目錄、網域管理員和本地域的額外安全性來破壞網路移動/調查——從而使 LockBit 3.0 的操作複雜化。

*佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

*除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

*透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

Hashes~

cf1f380d736c035793581d87868952efe789520a

1d8596310e2ea54b1bf5df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061

77c5fb080bf77f099c5b5f268dcf4435

f019495a1d4feecc07769dc1fbecccb871634cc707c43befe1ea7aa2c629e337

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

根據韓國資安公司 AhnLab，已確認攻擊者正在利用 Amadey Bot惡意軟體續進行 LockBit。研究人員表示用於安裝 LockBit 的惡意軟體 Amadey Bot 正在通過兩種方式分發：一種是使用惡意 Word 文檔文件，另一種則是偽裝成 Word 檔案圖示(icon)的可執行檔案，從電子郵件主題來看，攻擊是針對公司的，以工作申請或版權侵權通知作為誘餌，進行網路釣魚。

Amadey Bot於 2018 年首次被發現，是一個殭屍網路資料竊取工具(Infostealer)，可在地下犯罪組織中以 600 美元的價格購買，Amadey的主要功能是從受感染的主機中收集敏感資料，並進一步兼作傳遞下一階段的渠道，如執行網路系統偵察、資料洩露和payloads的載入，今年 7 月初，被發現用於散布 SmokeLoader 惡意軟體。

在10月初，AhnLab的研究人員發現Amadey Bot惡意軟體以KakaoTalk（一種在韓國流行的即時通訊服務）為幌子傳播，作為網路釣魚活動的一部分。

第二個案例發生在 10 月下旬，發現使用帶有名為“Resume.exe”(Amadey Bot) 的檔案的電子郵件附件，該檔案並偽裝成 Word 檔案圖示，誘使收件人打開，兩種分發路徑都會導致使用相同C2網址受Amadey Bot的感染。

AhnLab的最新分析基於 2022 年 10 月 28 日上傳到 VirusTotal 的 Microsoft Word 檔案（“ 심시아.docx ”），該檔案包含一個惡意 VBA 宏，當受害者啟用該宏時，它會運行 PowerShell 命令下載並運行 Amadey Bot。

在另一個攻擊鏈中，Amadey 偽裝成一個看似無害的Word 檔案圖示的文件，但實際上是一個通過網路釣魚傳播的可執行檔案Resume.exe。在成功執行 Amadey Bot後，惡意軟體會從遠端伺服器獲取並啟動其他命令，其中包括 PowerShell (.ps1) 或二進制 (.exe) 格式的 LockBit 勒索軟體。

研究人員總結說，由於 LockBit 勒索軟體正在通過各種方法傳播，用戶在打開附件前務必要格外謹慎，另外竣盟科技也觀察到某台灣上市生技集團於本週被列入LockBit3.0的受害名單中，勒索軟體集團給予7天的協商期限，若談判未果將於11/16發佈盜來的數據，該生技集團為在上海在海外生產基地，並為歐美地區國際性著名化妝品品牌生產製造化妝品，為國際性專業品牌做 O.E.M 或 O.D.M 服務等，目前尚未不淸楚所盜的資料量。

LockBit 3.0，也稱為LockBit Black，於 2022 年 6 月推出，同時推出了一個新的暗網入口網站和第一個針對勒索軟體操作的漏洞賞金計劃，承諾在其網站和軟體中發現漏洞可獲得高達 100 萬美元的獎勵。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

MD5

– 13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)

– ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)

– bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)

– 56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)

– bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

#時隔九個月又被同一勒索軟體集團入侵

#第一次中LockBit2.0第二次中LockBit 3.0

2022 年 1 月，法國Thales Group遭LockBit2.0攻擊，LockBit勒索軟體集團將其相關資訊公開在暗網中，然而Thales Group對外聲稱沒有遭攻擊的跡象，也沒有收到勒索信，最終其數據在倒數計時結束後(1月17日)即被公開，如下圖所示:

今早，LockBit在其揭秘網站上透露，6天後將公佈Thales的數據，顯然Thales Group又遭到了LockBit勒索軟體集團的入侵，而這次是已經升級至3.0版本的LockBit勒索軟體；又稱為LockBit Black。

LockBit稱將在11 月 7 日公開從Thales Group盜來的數據，當中包括公司運營、商業文件、會計記錄、客戶檔案、客戶結構計劃和軟體資訊等。值得一提的是，LockBit在Thales Group的貼文中，鼓勵Thales的客戶對該公司採取法律途徑，表示就客戶而言，應聯繫相關組織，對這家嚴重忽視保密規定的公司採取法律行動。

LockBit是目前其中最成功的勒索軟體即服務（Ransomware-as-a-Service；RaaS）之一，持續修補及更版，LockBit於 2019 年 9 月以 ABCD 的名義開始運營，在2021年6月推出升級版 LockBit 2.0帶來了多項新功能，號稱是史上加密速度最快的勒索軟體，可於3小時內加密25台伺服器與225個work stations，並在2022年 6 月打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號，推出3.0新版。

LockBit 3.0 引入了幾個新功能，可概括為：

延長倒時計：可以花錢延長數據公佈的時間

銷毀所有數據：可以付費銷毀受害者組織中洩露的所有數據；

隨時下載數據： 可以付費下載從受害公司竊取到的所有資料。

顯然地，每種“服務”的成本是不同的，可使用比特幣或門羅幣支付。

Thales集團是位居全球技術領先的國際集團，領域橫跨航太、地面交通運輸、國防科技、安全、數位科技暨服務等各方面，Thales遍佈全球68個國家總計捌萬多名員工。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

竣盟科技在9月20日在LockBit的揭秘網站上，驚見又一台灣上市半導體被列為受害者，該企業位於新竹科學園區是我國半導體重鎮的知名廠商，以再生晶圓及晶圓薄化起家。

目前，LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間，如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

最近，LockBit公告已發出第一筆Bug Bounty的獎金，據悉此筆金額為5萬美元，挖掘漏洞為一名暱稱叫Aussie的駭客，發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型，主要是 VHDK、VMDK 和備份檔案，目前LockBit已修補好該漏洞。

本週，BleepingComputer報導，有人在Twitter上散布勒索軟體LockBit 3.0（又稱LockBit Black）的產生器(Builder)，該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”，檔案包含：

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

Unknown person @ali_qushji said his team has hacked the LockBit servers and found the possible builder of LockBit Black (3.0) Ransomware. You can check it on the GitHub repository https://t.co/wkaTaGA8y7 pic.twitter.com/cPSYipyIgs

— 3xp0rt (@3xp0rtblog) September 21, 2022

根據Bleeping Computer，已證實此勒索軟體產生器確實是LockBit所持有的檔案，據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用，對防守者將帶來更大的威脅。該產生器由四個檔案組成，其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器，包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務，甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時，能夠輕鬆地對其進行修改，以利用他們的本地的C2伺服器，加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

受害名單包括:

*某知名上市IT代理商

*某日本上市集團在台子公司(工廠自動化零件生產商)

*國際知名運動品牌成衣製造商

*精品磁磚建材供應商

根據竣盟科技的觀察，分別在9月5和6日，我國共有 4 家公司被列入為LockBit3.0的受害名單。當中值得注意，某名知上市IT代理商，主要針對企業網路之架設、網路系統安全、網路管理及備援系統等領域，提供整體性的規劃及系統整合服務，為各大小公司提供資安服務及產品，為專業網路系統加值代理商，在業界享譽盛名，LockBit 3.0聲稱將於9月16日發布所有從該公司盜竊得來的數據，懷疑談判破局。

針對日商在台子公司(專門生產螺絲･螺栓，FA・模具零件、工具・工場消耗品) 目前已設時間器(Timer)，摧毀資料Destory all information)及可下載數據(Download data at any moment)的按鈕，可供任何願意付錢的人仕延長24小時間及消毀或下載數據。有趣的是，LockBit 3.0給予日商在台子公司長達99天的協商期限。

根據日本共同社的報導，LockBit的幹部日前接受其採訪，表示擁有100人以上夥伴，其中包括多名日籍駭客，還將招募更多的日籍夥伴，該幹部稱，LockBit是“以金錢為目的的完全非政治組織”，“成員不僅來自前蘇聯國家，還有日本人、中國人及美國人”。該人表示勒索的金額因企業規模及加密數據的價值而異，大致是年銷售額或年收入的0.5%～10%。該人未透露迄今獲得的錢款總額。

針對語言而招募特定國籍的駭客似乎是一個趨勢，值得我們思量的是LockBit是否也已招募了台籍駭客，使其攻擊更加順利，然而就目前的觀察，仍不能太早下結論，但值得我們持續關注下去!

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”