LockbitRansomware - 竣盟科技

勒索軟體集團LockBit打著“讓勒索軟體再次偉大”的口號，正式推出新版LockBit3.0，並啟動漏洞賞金計劃

Posted on 2022 年 6 月 28 日2022 年 6 月 28 日 by blogadmin

LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號，推出3.0新版

據竣盟科技的觀察，LockBit勒索軟體集團已在上週日(6/26)推出了其惡意軟體的3.0 版本，LockBit自2019年9月開始運營以後來，發展成為最多產的勒索軟體之一，在Conti 勒索軟體關閉其運營後，2022年5月LockBit正式成為佔主導地位的勒索軟體，其攻擊佔勒索市場的 40%。

LockBit還啟動了一個漏洞賞金計劃(Bug Bounty Program)，號召旗下成員(Affiliate)或全球的駭客菁英加入新擴展的漏洞賞金計畫，找出有關其加密程式碼漏洞、公共基礎設施漏洞或其他勒索軟體組織成員和幕後老闆的 PII 數據的資料。

LockBit在其揭秘網站LockBit3.0 Leak Data上表示，我們邀請地球上所有安全研究人員、道德和不道德的駭客參與我們的漏洞賞金計劃，報酬金額從 1000 美元到 100 萬美元不等。

自LockBit 3.0推出以來已經有受害者，分別是兩家美國公司Metro Appliance& More和Longseal flooring，為了讓受害者付贖金，LockBit還帶來新的敲詐技倆，任何人可以在受害者頁面，以LockBit提供的售價購買以下選項:

1. 延長談判時間( 24小時)

2銷毀從受害公司竊取到的所有資料。

3. .隨時下載從受害公司竊取到的所有資料。

值得一提的是，這意味著LockBit受害公司的競爭對手可能會買下資料或直接銷毀資料，LockBit無疑將敲詐、威嚇的技倆，帶到另一個層次!

另外， LockBit新增加了一個How to buy Bitcoin頁面，教受害者如何使用不同的方式購買比特幣。

據了解，LockBit還在準備大量新的備份站點，以提高其基礎架構的彈性。

LockBit勒索軟體集團的經營已經達到了一定程度的成熟度，該集團如同在經營的正規企業般的策略，是當今的勒索軟體市場鮮有的。

LockBit2.0鎖定台灣了?! 5月上、中旬已見四家台灣企業，遭LockBit2.0勒索軟體的攻擊

Posted on 2022 年 5 月 18 日2022 年 5 月 18 日 by blogadmin

據觀察，勒索軟體LockBit 2.0已在5月上、中旬，攻擊了四間不同的台灣企業，大肆在其揭秘網站上公告受害名單。當中引人關注的是一間上市的背光模組大廠與其子公司疑同時遭LockBit 2.0的毒手，LockBit揚言已竊得母公司和子公司的機密資料，包括apps的原始碼、財務報告、員工個資等超過 3 千份檔案。據了解母公司和子公司分別位於不同的縣市，該母公司的主要生產廠房遍佈台灣及大陸多個地區。截至目前，在公開資訊觀測站上沒有看到該母公司發佈重訊的相關訊息，另外，LockBit2.0聲稱會在5月18日發布從該母公司及子公司盜來的資料，但目前尚未看到任何公開流出的檔案。

另外，一家位於新北市的電線公司和一家位於台中的對講機製造廠商也成為LockBit 2.0的受害者。

LockBit 的演變，LockBit是目前其中最成功的勒索軟體即服務（Ransomware-as-a-Service；RaaS）之一，Photo Credit: Kaspersky

LockBit在2021年6月推出升級版 LockBit 2.0 以來，承諾通過名為StealBit的新工具提供市場上最快的數據上傳速度，該工具還支援實時壓縮和拖放功能，對安全工具保持隱藏。根據 LockBit 的承諾，它可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據，攻擊的企業數量比以往更多。8月初，BleepingComputer曾報導，LockBit2.0積極招募目標企業的內鬼，幫助他們入侵和加密企業的網路，並會以百萬美元作為報酬。LockBit2.0能利用 Active Directory (AD) 的群組原則，自動將 Windows 網域內所有裝置加密，使攻擊更加有效，之後LockBit 2.0還在其工具包中增加了一個針對 VMware ESXi虛擬化系統中的Linux加密器。

美國FBI(聯邦調查局)在2022年2月針對LockBit發布了CU-000162-MW的Flash Alert警報，提供了與 LockBit 勒索軟體攻擊相關的技術細節和入侵指標。FBI 建議網絡安全人員要求使用強密碼、多因素身份驗證和更新軟件等，以降低 LockBit 2.0 勒索軟件的危害風險。

在過去Lockbit2.0曾攻擊過的台灣企業:

2021年10月某製造業成衣副料商àhttps://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

2022 年 4 月某一飲料原物料商àhttps://blog.billows.com.tw/?p=1833

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

加拿大空戰訓練服務承包商Top Aces和日本流行服飾しまむら思夢樂，遭LockBit2.0攻擊! Top Aces被盜44GB的數據；思夢樂旗下2200間店舖受影響，無法訂購及電子付款

Posted on 2022 年 5 月 13 日 by blogadmin

5月11日，加拿大私人假想敵公司 Top Aces透露，旗下美國分公司在調查針對其內部系統遭勒索軟體攻擊的事件，據The Record報導，Top Aces在發現被列為LockBit 2.0勒索軟體的受害者後，正展開調查。操作LockBit 2.0勒索軟體背後駭客已要求Top Aces在 5 月 15 日之前付贖金，以換取不外洩屬於Top Aces約 44 GB的數據。Top Aces擁有全球規模最大的私營戰鬥機機隊，用於為世界各地的軍隊提供訓練，除了與加拿大、德國、以色列等國家合作外，該公司還於2019年與美國簽署了一項協議，為防禦俄羅斯提供訓練工具。資安公司Emsisoft的威脅分析師 Brett Callow指出，對國防承包商的攻擊令人擔憂，因為無法知道被盜數據最終會落在哪裡。

日本大型服裝連鎖企業思夢樂5月11日透露，在日本黃金週假期間，其內部系統遭駭客入侵造成系統異常，無法在店舖進行電子支付和線上產品訂購，多達2200間商店受影響。NHK報導思夢樂防止損害的進一步擴大，在5月5日暫停所有店面電子支付，6日因確認安全性，恢復電子結帳，但目前2200間店舖仍無法提供店面無現貨的商品訂購服務。

根據觀察，LockBit 2.0聲稱取得思夢樂超過 16Gb的數據，要求思夢樂在5月16日前支付贖金，另外，思夢樂表示，目前未發現有客戶或員工的個資外流。

LockBit 仍然是最活躍的勒索軟體組織之一，去年發生了數百次攻擊。根據 Recorded Future 收集的數據，今年到目前為止，他們已經攻擊了至少 650 個組織。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

IT顧問巨頭埃森哲（Accenture）遭LockBit2.0勒索軟體攻擊，被盜6TB 數據，勒索5千萬美元

Posted on 2021 年 8 月 13 日2021 年 8 月 13 日 by blogadmin

財富 500 強公司埃森哲(Accenture)已成為LockBit2.0勒索軟體攻擊的受害者，在8月11日表示，該事件並未影響其營運，並且已經從備份中恢復了受影響的系統。儘管埃森哲強調未受影響，但根據資安公司 Cyble，LockBit2.0取得了 6TB 的數據並要求 5,000 萬美元的贖金，同時也表示他們的入侵可能是在埃森哲的內鬼(insider)幫助下達成的，外媒ZDnet還報導稱，網路犯罪情報公司 Hudson Rock表示，有 2,500 台員工和合作夥伴的電腦在此次LockBit2.0攻擊中遭到入侵，另外根據Darkfeed，取得了有關LockBit2.0分享進入埃森哲網路的證據(包含帳號密碼等)。據Darkfeed的說法，LockBit2.0是從埃森哲旗下的子公司”Industry X”的雲端環境下進行入侵和加密的，同時也表示為內鬼通外鬼所作的。

8月初，BleepingComputer曾報導，LockBit2.0積極招募目標企業的內鬼，幫助他們入侵和加密企業的網路，並會以百萬美元作為報酬。

LockBit2.0是LockBit背後的駭客在今年6 月底升級的版本，主打各項性能提升，稱其最新的工具StealBit是世上最迅速盜竊數據的神器，包括加密 100 GB 的資料只要 4 分 30 秒、回傳資料速率高達 100GB／20 分鐘，表現的數據凌駕在其他知名的勒索軟體如 REvil、DarkSide、Ragnar Locker、Thanos等

自7月至今，LockBit2.0攻擊的個案激增，澳洲的網路安全局(ACSC)亦於早前發布警告，提醒企業提防此勒索軟體的入侵。據觀察。據觀察，LockBit2.0沒有特定的攻擊國家，包含台灣某電阻公司也於七月份受其攻擊。另外東南亞國家如越南，馬來西亞，新加坡等也有LockBit2.0的受害者。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”，稱其最新的工具StealBit是世上最迅速盜竊數據的神器

Posted on 2021 年 6 月 22 日2021 年 6 月 22 日 by blogadmin

Key Points:

*最近發生了勒索軟體收山、駭客被逮捕和伺服器遭扣押等事件，估計LockBit2.0的推出可吸引曾使用 DarkSide、CLOP、Avaddon勒索軟體的駭客。

*操作LockBit的駭客推出一項名為LockBit2.0的勒索軟體即服務（Ransomware as a Service , RaaS）計劃， LockBit承諾提供會員世界上最快的加密和數據盜竊工具

在3月中被爆出LockBit勒索軟體含錯誤使其試用版解密工具能任意被使用，可免費解密後，LockBit沉寂一陣子，現重新露臉並立即推出其加強版LockBit2.0，以招募更多新的駭客會員使用其勒索軟體加密更多公司。據相信，LockBit2.0已修復之前Lockbit勒索軟體中的錯誤並加入更強大的Stealer程式“StealBit”，據 LockBit 的承諾，它可以在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。迅速下載數據對於操作勒索軟體的駭客來說非常重要，因為他們盜竊數據的速度越快，越更大幅度減低被發現和阻擋的機會。竊取數據是當今勒索軟體攻擊的重點，這些數據通常是受害者支付贖金的原因。另外，StealBit同時還支援即時壓縮(Real-time compression)和拖放功能(Drag-and-drop)，並對安全工具保持隱藏。

LockBit提供StealBit對資料下載速度的比較表 Photo Credit: KELA

LockBit的駭客同時在加密也做出了同樣的承諾，聲稱是“世界上最快的加密軟體”，且優於其他的勒索軟體。LockBit表示，會員只需要對核心伺服器建立存取，其餘的工作全由LockBit 2.0一手包辦。

據信LockBit 2.0 計劃的合作夥伴將享有以下功能和特性：

*Tor中的管理員面板

*解密工具功能的自動測試

*阻止可能破壞加密過程的進程啟動

*進階的通訊埠端口掃描

*在聊天室推送通知

*自動清除受感染網路中的日誌

*通過 Wake-on-Lan 自動啟動電腦

*能使用在受害網路中連接的印表機印出需要的文件

*在受害網路中的自動散播

*刪除可用於備份還原的陰影複製

Source:

https://twitter.com/Intel_by_KELA/status/1406905385580118017

LockBit勒索軟體中存有錯誤，可被濫用允許無限次免費解密，無需與駭客談判了?!

Posted on 2021 年 3 月 19 日2021 年 3 月 19 日 by blogadmin

一個勒索軟體研究員發現並披露了LockBit勒索軟體中的一個錯誤(bug)，該錯誤可已被用於免費解密。該錯誤影響了 LockBit的勒索軟體即服務（RaaS）中的運作方式，LockBit的勒索軟體即服務於2020年1月啟動，通過該操作，LockBit的背後駭客出租了他們勒索軟體的使用權。

一般來說， LockBit的RaaS的客戶（也稱為會員）執行對受害公司網路的入侵，他們在受害公司網路中部署LockBit勒索軟體以加密檔案，並要求受害者提供贖金以換取解密工具。LockBit通過留在desktop上的勒索信，告訴受害人連接一個暗網的入口網站(即LockBit揭秘網站)，他們可以在其中協商和付贖金。該揭秘網站還允許受害者試用一次免費的解密操作(trial decryptor)，因此受害者可以確認駭客擁有有效的解密密鑰。

#Malware #Ransomware #LockBit

In LockBit ransomware, clients found a bug that allows using trial decryptor infinitely. Also, one client reminded about critical bugs due to not usable LockBit in big ransomware attacks. pic.twitter.com/D98Na8MZ7r
— 3xp0rt (@3xp0rtblog) March 16, 2021

關於LockBit勒索軟體被發現的錯誤，是經由一個地下網路犯罪論壇發佈的，LockBit的錯誤是在讓受害者試用一次免費解密機制中被發現的，它可用來作無限地免費解密。儘管此發現未包括其他證據，但該錯誤是由著名的俄羅斯駭客Bassterlord確認和公開的，該披露的可信性極高。 Bassterlod曾與多個勒索軟體組織合作，包括LockBit，REvil，Avaddon和RansomExx。

儘管受害者很難恢復其被加密所有的資料，但肯定會被大量受害者大量使用LockBit此錯誤。對於該勒索軟體的受害者而言，肯定有所得益。通過以公開方式發布有關該錯誤的資訊，Bassterlord的舉動還引發了安全專家之間討論關於通報勒索軟體漏洞的正確方法。

McAfee安全研究總監John Fokker表示，正確的方法是向安全供應商或No More Ransom報告與勒索軟體相關的錯誤，安全供應商和No More Ransom項目均已建立了完善的機制，可以利用這些資料並幫助勒索軟體受害者，而不會提醒勒索軟體開發者，還適用於希望破壞競爭對手的駭客們。

根據ID Ransomware平台提供的數據，LockBit勒索軟體仍在每週加密大約數十名受害者。

據相信由於LockBit的錯誤被公諸於世，該勒索軟體的背後駭客正忙於修補該錯誤，安全公司Malwarebytes的惡意情資分析師Marcelo Rivero說，LockBit的入口網站正在處於關閉狀態，這可表明駭客正在實施修補程式碼。

日本工業機器人大廠安川電機Yaskawa Electric Corporation被爆遭Lockbit加密, 導致生產線停頓

Posted on 2020 年 9 月 21 日 by blogadmin

Yaskawa Electric Corporation成立於1915年，是專注於運動控制，機器人自動化和系統工程的核心技術提供商，據日本媒體報導8月19日，安川電機在中國瀋陽當地子公司的當地員工打開了帶有病毒的郵件，致使個人電腦被勒索軟體破壞，生產控制所需的檔案由於被加密而無法使用，導致工廠生產線被暫停了一整天，據稱在日本方面沒有造成損害。

　　根據Gemini Advisory研究人員的調查，進入9月14日，LockBit背後的駭客團隊在一個講俄語的暗網路論壇上發布帶有他們新建立的揭秘網站的廣告，在LockBit成立的網站中，第一篇文章是來自Yaskawa Electric Corporation（日本安川電機）和Overseas Express運輸公司被盜的數據，LockBit背後的駭客發布兩家公司的數據作為威脅，勒索軟體團隊使用暗網和他們自己的揭秘網站來恐嚇受害者支付贖金。除了恐嚇目前的受害者外，這種策略還可以警告未來的受害者，向他們展示不支付贖金的後果。

研究人員說，安川電機被盜的數據包括個資，購買記錄，銀行帳戶和技術產品的資料，以及其他內部檔案。

值得一提的是，LockBit是Maze Cartel(迷宮敲詐勒索聯盟)的成員之一，此聯盟於2020年6月份成立, 成員包含Maze, Ragnar Locker 和LockBit, 後於8月份SunCrypt勒索軟體也成為該聯盟會員。據相信Maze Cartel 的成立宗旨為，交流技術，策略，經驗等，目的在於提高攻擊和勒索效率, 勒索軟體之間的互惠互利的合作模式值得我們持續的關注。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處