LockBit勒索軟件的一個特性是允許攻擊者在幾個小時內(nèi)破壞一個公司網(wǎng)絡(luò)，并部署勒索軟件加密數(shù)百臺設(shè)備。

2019年9月，LockBit是一個相對較新的勒索軟件即服務(wù)(RaaS)，開發(fā)者負(fù)責(zé)支付網(wǎng)站和開發(fā)，并注冊分支機(jī)構(gòu)以分發(fā)勒索軟件。

LockBit勒索

作為此設(shè)置的一部分，LockBit開發(fā)人員將收取一定比例的贖金，通常約為25%至40%，而分支機(jī)構(gòu)則會獲得更大的贖金份額，約為60%至75%。

三小時內(nèi)就可成功加密

McAfee實驗室和網(wǎng)絡(luò)安全公司Northwave的研究人員在共同撰寫的一份新報告中提到，我們了解了一個LockBit勒索軟件是如何入侵一個公司網(wǎng)絡(luò)，并加密了大約25臺服務(wù)器和225個工作站的。而完成這些僅需三個小時即可。

據(jù)Northwave的網(wǎng)絡(luò)安全專家Patrick Van Looy稱，黑客通過一個過時的VPN服務(wù)強(qiáng)行使用一個管理員帳戶，從而獲得了對網(wǎng)絡(luò)的訪問權(quán)。

大多數(shù)網(wǎng)絡(luò)攻擊都是在黑客破壞網(wǎng)絡(luò)后才獲得對管理員帳戶的訪問權(quán)限，而他們卻跨越了這一步，直接獲得了管理員賬戶權(quán)限，這樣就可以迅速的在網(wǎng)絡(luò)上部署勒索軟件。

Looy通過電子郵件告訴BleepingComputer，在這個典型案例中，通過暴力破解VPN獲得訪問權(quán)限后，攻擊者幾乎可以立即啟動勒索軟件。大約在凌晨1:00左右攻擊者進(jìn)行了初始訪問，之后勒索軟件被啟動，在凌晨4:00左右，攻擊者注銷。

雖然，不是網(wǎng)絡(luò)上的所有設(shè)備都被加密了，但這很可能是因為勒索軟件中的一個錯誤而導(dǎo)致了它崩潰的結(jié)果。

不過，對于那些已加密的系統(tǒng)，它是通過LockBit內(nèi)置中的一個特性快速完成的。

LockBit傳播

McAfee的分析表明，LockBit勒索軟件包含一項功能，可將其擴(kuò)展到網(wǎng)絡(luò)上的其它計算機(jī)上。

執(zhí)行時，LockBit除了加密設(shè)備的文件外，還將執(zhí)行ARP請求以查找網(wǎng)絡(luò)上的其他活動主機(jī)，然后嘗試通過SMB連接到它們。

通過SMB連接到其他計算機(jī)

如果勒索軟件能夠通過SMB連接到計算機(jī)，它將發(fā)出遠(yuǎn)程PowerShell命令來下載并執(zhí)行勒索軟件。

下載并執(zhí)行LockBit勒索軟件的命令

網(wǎng)絡(luò)上越來越多的計算機(jī)受到感染，而這些受到感染的計算機(jī)有助于加快將勒索軟件部署到網(wǎng)絡(luò)上的其他計算機(jī)上。此功能使攻擊者能夠在短短三個小時內(nèi)自動入侵網(wǎng)絡(luò)并加密225臺計算機(jī)。

攻擊越快，被檢測到的幾率就越小

當(dāng)攻擊者破壞網(wǎng)絡(luò)時，他們在網(wǎng)絡(luò)中移動的時間越長，被檢測到的機(jī)會就越大。

所以，與更高級和更熟練的攻擊者相比，那些技術(shù)不太熟練的黑客試圖在網(wǎng)絡(luò)中橫向傳播時，會被頻繁地檢測到。

然而，像這種可以自動傳播勒索軟件，使那些初學(xué)者的黑客可以更容易的完成攻擊。

Looy告訴BleepingComputer：

隨著勒索軟件部署的快速性和方便性的提升，我們會看到LockBit有繼續(xù)增長的趨勢，威脅到更多的設(shè)備。