全新 4.0 版本登場,Quiet Mode 進一步提升隱蔽性
在經歷一段時間的沉寂後,全球最惡名昭彰的勒索軟體集團 LockBit 捲土重來,並於 2024 年 12 月 推出更先進、更難偵測的 LockBit 4.0。這次更新強化了 隱匿性,進一步提高資安團隊的偵測與調查難度。
近期,德國 IT 服務公司 Topackt IT Solutions 遭受 LockBit 攻擊,該組織於 2025 年 2 月 2 日 在其網站上公開承認這起事件。然而,調查顯示,實際攻擊早在 1 月中旬 就已發生,這表明 LockBit 具備長時間潛伏、不被察覺的能力。
LockBit 4.0 有哪些新變化?
LockBit 4.0 不只是一次小幅更新,而是 重大升級,目標是讓攻擊變得 更安靜、更持久、更難追蹤。
🔹 「靜默模式」大幅提升隱匿性
LockBit 4.0 新增了一項 「靜默模式」(Quiet Mode),該模式讓加密過程更加隱蔽:
- 加密後的檔案仍保留原始副檔名與修改時間,受害者不易察覺異常。
- 部分偵測依賴檔案變動的防毒軟體可能會失效,增加攻擊成功率。
- 啟用此模式時,不會投放勒索信,讓企業的資安團隊無法透過傳統的 IoC(入侵指標)迅速發現攻擊跡象。
這種隱匿技術讓攻擊行動幾乎無跡可尋,大幅增加防禦與事件調查的挑戰。
🔹 更強的加密與反逆向工程機制
LockBit 4.0 進一步提升了 加密效率與速度,讓受害者即使不願支付贖金,也更難透過技術手段恢復資料。此外,新版本還強化了 反逆向工程機制,讓資安研究人員更難分析其內部運作方式。
🔹 專攻虛擬化環境,企業 IT 基礎架構成為目標
根據 美國司法部(DOJ)2024 年 12 月的起訴書,LockBit 擴大攻擊範圍,將目標瞄準企業常用的虛擬化環境,例如:
- VMware ESXi
- Proxmox
- Nutanix
這顯示 LockBit 正積極尋找企業級 IT 基礎架構的弱點,透過加密 虛擬機(VMs) 來癱瘓企業運營,迫使受害者支付贖金。
LockBit 勒索軟體的進化史
LockBit 近年來不斷升級,每一個版本都帶來更大的威脅:
- LockBit Red(2.0) – 加快自動化攻擊,提高感染速度。
- LockBit Black(3.0) – 採用 BlackMatter 勒索軟體 的技術,提升加密與防偵測能力。
- LockBit Green(2023) – 基於 Conti 勒索軟體原始碼開發,進一步強化攻擊效能。
- LockBit 4.0(2024) – 加入靜默模式、強化加密技術、擴展攻擊範圍至虛擬化環境。
目前分析的 LockBit 4.0 樣本顯示其版本編號為 LockBitGreen4.0-rc-577,這與 2023 年初 LockBit 推出的 Green 版本 有關,顯示其仍在吸收過往不同勒索軟體家族的技術來強化自身攻擊能力。
如何防範 LockBit 4.0?
面對更加隱匿與強大的 LockBit 4.0,企業應採取 多層次安全防護,以降低風險:
✅ 監控異常行為,精準偵測入侵 – 即使攻擊者試圖隱藏痕跡(如維持文件時間戳不變),透過 行為分析 仍可發現可疑活動,例如短時間內大量檔案存取、異常 I/O 行為或進程異常交互。
✅ 啟用不可變(Immutable)備份,確保資料最後防線 – 讓備份無法被勒索軟體刪除或加密,並搭配欺敵機制(Deception),例如設置假備份目錄或蜜罐檔案,引導攻擊者暴露行蹤。
✅ 強化虛擬化環境安全,阻斷攻擊途徑 – LockBit 4.0 針對 VMware ESXi、Proxmox、Nutanix 發動攻擊,企業應落實存取權限管理、網路隔離及零信任架構,並透過虛擬化誘捕系統(Deception VM) 誘導並分析攻擊行為,進一步提升防禦能力。
✅ 修補已知漏洞,部署欺敵陷阱,減少攻擊入口 – 勒索軟體常透過 RDP(遠端桌面協議)暴露、未修補的系統漏洞或社交工程 進行入侵。企業應定期更新系統、強化帳號管理,並在 RDP 端口或關鍵服務上設置誘餌帳號,主動識別攻擊者活動並攔截攻擊。
結論
LockBit 4.0 再次推高 勒索軟體攻擊的隱匿性與威脅水準,透過「靜默加密」、強化偵測規避技術,並鎖定企業級 IT 基礎架構,讓傳統的防禦機制變得 愈發無效。
勒索軟體攻擊手法不斷演變,你的企業準備好了嗎?
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”
