標籤: LockbitRansomware

Key Points:

*最近發生了勒索軟體收山、駭客被逮捕和伺服器遭扣押等事件，估計LockBit2.0的推出可吸引曾使用 DarkSide、CLOP、Avaddon勒索軟體的駭客。

*操作LockBit的駭客推出一項名為LockBit2.0的勒索軟體即服務（Ransomware as a Service , RaaS）計劃， LockBit承諾提供會員世界上最快的加密和數據盜竊工具

在3月中被爆出LockBit勒索軟體含錯誤使其試用版解密工具能任意被使用，可免費解密後，LockBit沉寂一陣子，現重新露臉並立即推出其加強版LockBit2.0，以招募更多新的駭客會員使用其勒索軟體加密更多公司。據相信，LockBit2.0已修復之前Lockbit勒索軟體中的錯誤並加入更強大的Stealer程式“StealBit”， 據 LockBit 的承諾，它可以在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。迅速下載數據對於操作勒索軟體的駭客來說非常重要，因為他們盜竊數據的速度越快，越更大幅度減低被發現和阻擋的機會。竊取數據是當今勒索軟體攻擊的重點，這些數據通常是受害者支付贖金的原因。另外，StealBit同時還支援即時壓縮(Real-time compression)和拖放功能(Drag-and-drop)，並對安全工具保持隱藏。

LockBit的駭客同時在加密也做出了同樣的承諾，聲稱是“世界上最快的加密軟體”，且優於其他的勒索軟體。LockBit表示，會員只需要對核心伺服器建立存取，其餘的工作全由LockBit 2.0一手包辦。

據信LockBit 2.0 計劃的合作夥伴將享有以下功能和特性：

*Tor中的管理員面板

*解密工具功能的自動測試

*阻止可能破壞加密過程的進程啟動

*進階的通訊埠端口掃描

*在聊天室推送通知

*自動清除受感染網路中的日誌

*通過 Wake-on-Lan 自動啟動電腦

*能使用在受害網路中連接的印表機印出需要的文件

*在受害網路中的自動散播

*刪除可用於備份還原的陰影複製

LockBit相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

Source:

https://twitter.com/Intel_by_KELA/status/1406905385580118017

一個勒索軟體研究員發現並披露了LockBit勒索軟體中的一個錯誤(bug)，該錯誤可已被用於免費解密。該錯誤影響了 LockBit的勒索軟體即服務（RaaS）中的運作方式，LockBit的勒索軟體即服務於2020年1月啟動，通過該操作，LockBit的背後駭客出租了他們勒索軟體的使用權。

一般來說， LockBit的RaaS的客戶（也稱為會員）執行對受害公司網路的入侵，他們在受害公司網路中部署LockBit勒索軟體以加密檔案，並要求受害者提供贖金以換取解密工具。LockBit通過留在desktop上的勒索信，告訴受害人連接一個暗網的入口網站(即LockBit揭秘網站)，他們可以在其中協商和付贖金。該揭秘網站還允許受害者試用一次免費的解密操作(trial decryptor)，因此受害者可以確認駭客擁有有效的解密密鑰。

#Malware #Ransomware #LockBit

In LockBit ransomware, clients found a bug that allows using trial decryptor infinitely. Also, one client reminded about critical bugs due to not usable LockBit in big ransomware attacks. pic.twitter.com/D98Na8MZ7r

— 3xp0rt (@3xp0rtblog) March 16, 2021

關於LockBit勒索軟體被發現的錯誤，是經由一個地下網路犯罪論壇發佈的，LockBit的錯誤是在讓受害者試用一次免費解密機制中被發現的，它可用來作無限地免費解密。儘管此發現未包括其他證據，但該錯誤是由著名的俄羅斯駭客Bassterlord確認和公開的，該披露的可信性極高。 Bassterlod曾與多個勒索軟體組織合作，包括LockBit，REvil，Avaddon和RansomExx。

儘管受害者很難恢復其被加密所有的資料，但肯定會被大量受害者大量使用LockBit此錯誤。 對於該勒索軟體的受害者而言，肯定有所得益。通過以公開方式發布有關該錯誤的資訊，Bassterlord的舉動還引發了安全專家之間討論關於通報勒索軟體漏洞的正確方法。

McAfee安全研究總監John Fokker表示，正確的方法是向安全供應商或No More Ransom報告與勒索軟體相關的錯誤，安全供應商和No More Ransom項目均已建立了完善的機制，可以利用這些資料並幫助勒索軟體受害者，而不會提醒勒索軟體開發者，還適用於希望破壞競爭對手的駭客們。

根據ID Ransomware平台提供的數據 ，LockBit勒索軟體仍在每週加密大約數十名受害者。

據相信由於LockBit的錯誤被公諸於世，該勒索軟體的背後駭客正忙於修補該錯誤，安全公司Malwarebytes的惡意情資分析師Marcelo Rivero說，LockBit的入口網站正在處於關閉狀態，這可表明駭客正在實施修補程式碼。

相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

Yaskawa Electric Corporation成立於1915年，是專注於運動控制，機器人自動化和系統工程的核心技術提供商，據日本媒體報導8月19日，安川電機在中國瀋陽當地子公司的當地員工打開了帶有病毒的郵件，致使個人電腦被勒索軟體破壞，生產控制所需的檔案由於被加密而無法使用，導致工廠生產線被暫停了一整天，據稱在日本方面沒有造成損害。

　　根據Gemini Advisory研究人員的調查，進入9月14日，LockBit背後的駭客團隊在一個講俄語的暗網路論壇上發布帶有他們新建立的揭秘網站的廣告，在LockBit成立的網站中，第一篇文章是來自Yaskawa Electric Corporation（日本安川電機）和Overseas Express運輸公司被盜的數據，LockBit背後的駭客發布兩家公司的數據作為威脅，勒索軟體團隊使用暗網和他們自己的揭秘網站來恐嚇受害者支付贖金。除了恐嚇目前的受害者外，這種策略還可以警告未來的受害者，向他們展示不支付贖金的後果。

研究人員說，安川電機被盜的數據包括個資，購買記錄，銀行帳戶和技術產品的資料，以及其他內部檔案。

值得一提的是，LockBit是Maze Cartel(迷宮敲詐勒索聯盟)的成員之一， 此聯盟於2020年6月份成立, 成員包含Maze, Ragnar Locker 和LockBit, 後於8月份SunCrypt勒索軟體也成為該聯盟會員。據相信Maze Cartel 的成立宗旨為 ，交流技術，策略，經驗等，目的在於提高攻擊和勒索效率, 勒索軟體之間的互惠互利的合作模式值得我們持續的關注。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處