LockBit勒索軟件家族最新動態(tài)

2024-04-29 17:12:47
我要分享


微信掃碼分享

LockBit近期事件

聯(lián)合行動對LockBit組織的沖擊

2024年2月19日，美國、英國、法國等11個國家聯(lián)手發(fā)起了代號為“Cronos”的聯(lián)合執(zhí)法行動，旨在打擊LockBit勒索軟件組織。這次行動取得了巨大的成功，行動的主要成果包括：

l? 識別并移除了超過1.4萬個惡意賬戶；

l? 逮捕了兩名LockBit附屬機構(gòu)成員；

l? 獲得1000多個解密器；

l? 查獲34臺LockBit團伙的服務(wù)器，包含源代碼、被攻擊受害者詳情、勒索贖金、被盜數(shù)據(jù)、聊天記錄等內(nèi)部信息；

l? 占領(lǐng)其專用數(shù)據(jù)泄露站點；

LockBit運營者對執(zhí)法行動的回應(yīng)

LockBit的運營者在2024年2月24日對此次聯(lián)合執(zhí)法行動做出了回應(yīng)：

l? 他是該行業(yè)唯一一個擁有多個服務(wù)器的去中心化基礎(chǔ)設(shè)施所有者，這使得他能夠迅速定位攻擊發(fā)生的源頭。在遭受攻擊時，他也曾收到警告，但由于過度自信和對娛樂的沉迷，最終導(dǎo)致了攻擊的成功。

l? 拒絕承認與被捕的兩名犯罪分子及其附屬機構(gòu)直接相關(guān)，并指出知道其中一名被捕人員的真實姓名，與發(fā)布的被捕人員信息不符合。

l? 警方獲取的解密器僅占解密器總數(shù)量的2.5%，大部分解密器是被保護的。

l? 未來想要加入該附屬機構(gòu)的成員需要在論壇上具備一定的聲譽，或存入2個比特幣，存款的增加完全是因為此次執(zhí)法行動給LockBit打了一個漂亮的廣告：LockBitSupp和附屬公司已通過LockBit勒索加密活動賺了數(shù)億美元。

LockBit運營者對FBI的執(zhí)法行動提出了一種猜測，認為這是為了防止唐納德·特朗普的法庭案件曝光，因為這些案件可能會影響即將到來的美國大選。他們指出，如果不是因為選舉的背景，聯(lián)邦調(diào)查局可能會繼續(xù)秘密監(jiān)視他們的服務(wù)器以提出刑事指控。因此，他們計劃更頻繁、更廣泛地攻擊政府部門，此類攻擊能暴露該團伙基礎(chǔ)設(shè)置存在的漏洞并迫使執(zhí)法部門展示其能力。LockBit運營者表示，此次攻擊并未對其造成任何打擊，反而激起了戰(zhàn)斗力，后續(xù)將不再沉迷于娛樂，將投入更多的精力到勒索活動中。

LockBit勒索活動的恢復(fù)

在執(zhí)法部門占領(lǐng)LockBit數(shù)據(jù)泄露網(wǎng)站后，LockBit運營者很快創(chuàng)建了新的專用數(shù)據(jù)泄露網(wǎng)站(DSL)。從2024年2月19日后，LockBit組織又在DSL發(fā)布了106個受害組織/企業(yè)的數(shù)據(jù)。

圖1. LockBit泄密站點?

在執(zhí)法行動事件之前，LockBit就被監(jiān)控到有在秘密開發(fā)一個名為LockBit NG Dev(NG for Next Generation)的惡意軟件(LockBit4.0)，此次4.0版本使用.NET對LockBit的代碼進行了重構(gòu)。但360安全大腦也監(jiān)測到了使用C++生成的4.0版本。

圖2. LockBit勒索軟件家族版本更迭路徑?

LockBit2.0版本的源碼曾被泄露，但被其他勒索軟件家族利用的并不多，比較出名的有TommyLeaks以及SchoolBoys勒索軟件家族。但在LockBit3.0的加密程序構(gòu)建器泄露后，因其出色的加密能力，以及構(gòu)建器的高可定制化等，出現(xiàn)了大量該勒索軟件家族的衍生品。例如本月新增的自稱為Balloon的勒索軟件以及眾多其它變種(目前國內(nèi)遭受勒索加密的情況顯示，受害者的文件出現(xiàn)了隨機后綴時，經(jīng)過識別后確認大多數(shù)是LockBit的變種。這些變種要么是泄露的LockBit3.0版本，要么是最新的LockBit 4.0版本)。

一場鬧劇

近期360安全大腦捕獲到一個LockBit3.0的變種，其勒索提示信息用中文繁體提示受害者向指定的比特幣錢包地址匯入0.02BTC以解密文件。

圖3. LockBit 3.0勒索提示信息

在贖金談判中，黑客聲稱即將步入婚姻殿堂，將不再從事違法活動，并免費提供解密程序。然而，經(jīng)分析測試，附件中的解密器和加密程序并非基于同一對私鑰和公鑰生成的，無法成功解密被勒索加密的文件。這是因為，LockBit3.0泄露的解密器是基于生成勒索所用的公鑰匹配的私鑰生成的，如果不匹配，就無法用于該勒索的解密!

圖4. 泄露出的LockBit 3.0解密器?

這一情況的出現(xiàn)，主要是因為在LockBit3.0的生成器遭泄露后出現(xiàn)了大量該組織外人員利用生成器創(chuàng)建自己定制的“LockBit3.0”勒索軟件。但由于各自為戰(zhàn)的黑客們互不隸屬，也并不屬于同一組織，其所使用的密鑰自然也都是相互無關(guān)。而這位聲稱自己結(jié)婚并提供解密程序的黑客很有可能便是這種“編外”人員或組織的一分子，他們所提供的解密器的揭密能力自然也是“非常有限”的。同時，這種極富戲劇性的郵件內(nèi)容也是一種策略，可以顯著降低受害用戶的戒備心理，并增加他們與其溝通聯(lián)系的可能性。通過建立聯(lián)系，黑客可以進一步了解受害用戶的支付能力和意愿，從而索取高額的贖金。

因此，建議受害用戶保持警惕，不要輕易相信黑客的承諾。在與黑客溝通時，應(yīng)謹慎選擇溝通方式，并避免透露敏感信息。同時，建議受害用戶盡快尋求專業(yè)人士的幫助，以最大程度地降低損失。

圖5. 攻擊者以結(jié)婚為名主動提供解密器的郵件?

當(dāng)受害者提出該解密器無法解密文件時，黑客表示想要解密，必須向其支付贖金。

圖6. 攻擊者繼續(xù)索要贖金

LockBit4.0樣本分析

基本情況

名字	LockBit 4.0
威脅類型	勒索軟件，加密病毒，
加密文件擴展名	.xa1Xx3AXs
勒索信	xa1Xx3AXs.README.txt
贖金金額	1000 美元的比特幣加密貨幣
錢包地址	328N9mKT6xFe6uTvtpxeKSymgWCbbTGbK2
是否可解密	否
黑客郵箱	**********@proton.me

表1. LockBit 4.0樣本基本信息?

獲取到的LockBit4.0樣本和之前分析的3.0樣本本質(zhì)上并沒有太大的區(qū)別，其中一些配置存在些許變化：

圖7. LockBit 4.0配置信息變化?

配置信息使用了APLib進行壓縮,解壓縮后包含RSA公鑰、掩碼等，還包括自定義Base64的編碼數(shù)據(jù)：

RSA公鑰為：

AQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAjY1Z56OlKFMAYvC8NjHhkHAFF3+QoaqUZKjr6nlS9UbQfcVIsbrkjfP1UFjhcKB1L8qgVNF1xsQDr+smftC4xlaZ3882jzv7WJ+ihBZjorKyBiByhF64bAQzd7/XHzcEGl0Uk6O0mCaI5S/SOh2ejkE9ExjVYI+QA/xO+/CpPcw==

圖8. LockBit 4.0內(nèi)置密鑰字符串?

配置說明

我們對Lockbit 4.0的配置進行了解密，詳細內(nèi)容如下表所示：

配置字段	值	含義注釋
encrypt_mode	auto	加密模式
encrypt_filename	FALSE	加密文件名
impersonation	TRUE	冒充
skip_hidden_folders	FALSE	跳過隱藏文件夾
language_check	FALSE	語言檢查
local_disks	TRUE	本地磁盤
network_shares	TRUE	網(wǎng)絡(luò)共享
kill_processes	TRUE	結(jié)束進程
kill_services	TRUE	結(jié)束服務(wù)
running_one	TRUE	單實例運行
print_note	TRUE	打印提示
set_wallpaper	TRUE	設(shè)置壁紙
set_icons	TRUE	設(shè)置圖標
send_report	FALSE	發(fā)送報告
self_destruct	TRUE	自我銷毀
kill_defender	TRUE	關(guān)閉殺軟
wipe_freespace	FALSE	擦除空閑空間
psexec_netspread	FALSE	psexec 網(wǎng)絡(luò)擴散
gpo_netspread	TRUE	gpo 網(wǎng)絡(luò)擴散
gpo_ps_update	TRUE	gpo ps 更新
shutdown_system	FALSE	關(guān)閉系統(tǒng)
delete_eventlogs	TRUE	刪除事件日志
delete_gpo_delay	1	刪除 gpo 延遲

表2. LockBit4.0配置文件字段及對應(yīng)含義?

除上述基本配置字段外，還有一些較為重要的配置信息所對應(yīng)內(nèi)容如下：

white_folders - 文件夾白名單

$recycle.bin; config.msi; $windows.~bt; $windows.~ws; windows; boot; system volume information; tor browser; windows.old; intel; msocache; perflogs; x64dbg; public; all users; default; microsoft;

white_files - 文件名白名單

autorun.inf; boot.ini; bootfont.bin; bootsect.bak; desktop.ini; iconcache.db; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; thumbs.db; GDIPFONTCACHEV1.DAT; d3d9caps.dat;

white_extens - 文件后綴白名單

386; adv; cab; cmd; com; cpl; cur; deskthemepack; diagcab; diagcfg; diagpkg; drv; exe ;hlp; icl; icns; ico; ics; idx; ldf; lnk; mod; mpa; msc; msp; msstyles; msu; nls; nomedia; ocx; prf; rom; scr; shs; spl; sys; theme; themepack; wpx;l ock; key; hta; pdb; search-ms;

white_hosts - hosts白名單

WS2019

kill_processes - 進程清理列表

sql; oracle; ocssd; dbsnmp; synctime; agntsvc; isqlplussvc; xfssvccon; mydesktopservice; ocautoupds; encsvc; firefox; tbirdconfig; mydesktopqos; ocomm; dbeng50; sqbcoreservice; excel; infopath; msaccess; mspub; onenote; outlook; powerpnt; steam; thebat; thunderbird; visio; winword; wordpad; notepad; calc; wuauclt; onedrive;

kill_services - 服務(wù)清理列表

vss; sql; svc$; memtas; mepocs; msexchange; sophos; veeam; backup; GxVss; GxBlr; GxFWD; GxCVD; GxCIMgr;

impers_accounts - 弱口令列表

ad.lab:Qwerty!; Administrator:123QWEqwe!@#; Admin2:P@ssw0rd; Administrator:P@ssw0rd; Administrator:Qwerty!; Administrator:123QWEqwe; Administrator:123QWEqweqwe;

最后，4.0版本給受害者留下的勒索信較此前的3.0版本也有所變化——將之前的暗網(wǎng)鏈接全部去除，并用Proton郵箱（采用了端到端加密技術(shù)）進行替代。推測這一做法的主要目的是為了讓普通用戶更容易與攻擊者取得聯(lián)系。

圖9. LockBit4.0勒索信內(nèi)容示例

圖10. LockBit3.0勒索信內(nèi)容示例

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

LockBit勒索軟件家族最新動態(tài)

熱點排行

關(guān)注我們