[[422343]]

研究人員表示，LockBit勒索軟件即服務(wù)(RaaS)團(tuán)伙加大了針對(duì)性攻擊力度，試圖使用其惡意軟件的2.0版針對(duì)智利、意大利、臺(tái)灣和英國的公司。

根據(jù)趨勢(shì)科技周一發(fā)布的分析，7月和8月的攻擊使用了LockBit 2.0，其特點(diǎn)是增強(qiáng)了加密方法。

據(jù)報(bào)道：“與LockBit在2019年的攻擊和功能相比，該版本包括通過濫用Active Directory(AD)組策略跨Windows域自動(dòng)加密設(shè)備，促使其背后的組織聲稱它是當(dāng)今市場(chǎng)上最快的勒索軟件變種之一。”“LockBit 2.0以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而出名。我們的分析表明，雖然它在加密中使用了多線程方法，但它也只對(duì)文件進(jìn)行了部分加密，因?yàn)槊總€(gè)文件只加密了4KB的數(shù)據(jù)。”

趨勢(shì)科技指出，這些攻擊還包括從目標(biāo)公司內(nèi)部招募內(nèi)部人員。惡意軟件感染程序的最后一步是將受害者的電腦壁紙更改為有效的廣告，其中包括有關(guān)組織內(nèi)部人員如何參與“附屬招募”的部分信息，并保證支付數(shù)百萬美元和承諾匿名，以換取憑據(jù)和訪問權(quán)限。

研究人員表示，新一波攻擊正在采用這種策略，“似乎是為了消除(其他威脅行為者群體的)中間人，并通過提供有效憑據(jù)和訪問公司網(wǎng)絡(luò)來實(shí)現(xiàn)更快的攻擊”。

值得注意的是，LockBit也是最近埃森哲網(wǎng)絡(luò)攻擊事件背后的罪魁禍?zhǔn)住?/p>

LockBit 2.0感染程序

為了對(duì)目標(biāo)公司網(wǎng)絡(luò)進(jìn)行初始訪問，LockBit團(tuán)伙招募了上述成員和助手，他們通常通過有效的遠(yuǎn)程桌面協(xié)議(RDP)帳戶憑據(jù)對(duì)目標(biāo)進(jìn)行實(shí)際入侵。為了幫助實(shí)現(xiàn)這一目標(biāo)，LockBit的創(chuàng)建者為他們的合作伙伴提供了一個(gè)方便的StealBit特洛伊木馬變種，這是一種用于建立訪問權(quán)限和自動(dòng)泄露數(shù)據(jù)的工具。

該報(bào)告指出，一旦進(jìn)入系統(tǒng)，LockBit 2.0就會(huì)使用一整套工具來進(jìn)行偵查。Network Scanner會(huì)評(píng)估網(wǎng)絡(luò)結(jié)構(gòu)并識(shí)別目標(biāo)域控制器。它使用多個(gè)批處理文件從而達(dá)到不同目的，其中包括終止安全工具、啟用RDP連接、清除Windows事件日志以及確保關(guān)鍵進(jìn)程(例如Microsoft Exchange、MySQL和QuickBooks)不可用。它還會(huì)停止Microsoft Exchange并禁用其他相關(guān)服務(wù)。

但這還不是全部：“LockBit 2.0還濫用Process Hacker和PC Hunter等合法工具來終止受害系統(tǒng)中的進(jìn)程和服務(wù)。”

在第一階段結(jié)束之后，就開始進(jìn)行橫向運(yùn)動(dòng)了。

趨勢(shì)科技研究人員解釋說：“一旦進(jìn)入域控制器，勒索軟件就會(huì)創(chuàng)建新的組策略并將它們發(fā)送到網(wǎng)絡(luò)上的每臺(tái)設(shè)備。”“這些策略禁用Windows Defender，并將勒索軟件二進(jìn)制文件分發(fā)和執(zhí)行到每臺(tái)Windows計(jì)算機(jī)。”

這個(gè)主要的勒索軟件模塊繼續(xù)向每個(gè)加密文件添加“.lockbit”后綴。然后，它會(huì)在每個(gè)加密目錄中放一張贖金便條，威脅雙重勒索。便條一般會(huì)告訴受害者，文件被加密了，如果他們不付款，就把他們公開發(fā)布。

LockBit 2.0的最后一步是將受害者的桌面壁紙更改為上述招聘廣告，其中還包括有關(guān)受害者如何支付贖金的說明。

LockBit的持續(xù)進(jìn)化

趨勢(shì)科技一直在跟蹤LockBit，并指出其運(yùn)營商最初與去年10月關(guān)閉的Maze勒索軟件組織合作。

Maze是雙重勒索策略的先驅(qū)，于2019年11月首次出現(xiàn)。它發(fā)起了持續(xù)不斷的攻擊活動(dòng)，例如對(duì)Cognizant的攻擊。2020年夏天，它成立了一個(gè)網(wǎng)絡(luò)犯罪“卡特爾”——與各種勒索軟件(包括Egregor)聯(lián)手，并共享代碼、想法和資源。

研究人員解釋說：“在Maze關(guān)閉后，LockBit團(tuán)伙繼續(xù)使用自己的泄漏站點(diǎn)，這導(dǎo)致了LockBit的發(fā)展。”“以前的版本顯示了已有的勒索軟件的特征，它使用了加密文件、竊取數(shù)據(jù)和在未支付贖金時(shí)泄露被盜數(shù)據(jù)的雙重勒索技術(shù)。”

現(xiàn)在的LockBit 2.0似乎是受到了Ryuk和Egregor的影響，這可能是由于共享代碼DNA。趨勢(shì)科技指出的兩個(gè)顯著的例子是：

• 受Ryuk勒索軟件啟發(fā)的LAN喚醒功能，發(fā)送Magic Packet“0xFF 0xFF 0xFF 0xFF 0xFF 0xFF”以喚醒離線設(shè)備。
•  在受害者的網(wǎng)絡(luò)打印機(jī)上打印勒索信，類似于Egregor使用的引起受害者注意力的方式。它使用Winspool API在連接的打印機(jī)上枚舉和打印文檔。

趨勢(shì)科技研究人員總結(jié)道：“我們……推測(cè)這個(gè)團(tuán)體將在很長一段時(shí)間內(nèi)繼續(xù)保持活躍狀態(tài)，特別是因?yàn)楝F(xiàn)在它正在廣泛招募成員和組織內(nèi)部人員，使其更有能力感染許多公司和行業(yè)。”“同時(shí)，為LockBit 2.0的升級(jí)和進(jìn)一步開發(fā)做好準(zhǔn)備也是明智之舉，特別是現(xiàn)在許多公司都了解了它的功能及其工作原理。”

如何保護(hù)組織免受勒索軟件的侵害

以下是互聯(lián)網(wǎng)安全中心和美國國家標(biāo)準(zhǔn)與技術(shù)研究所推薦預(yù)防LockBit 2.0和其他惡意軟件感染的最佳做法：

• 審計(jì)和盤存：對(duì)組織的所有資產(chǎn)和數(shù)據(jù)進(jìn)行審計(jì)，識(shí)別出經(jīng)過授權(quán)和未經(jīng)授權(quán)的設(shè)備、軟件以及僅特定人員可訪問的系統(tǒng)。審計(jì)和監(jiān)控所有重大事件和突發(fā)狀況的日志，從而識(shí)別一場(chǎng)模式或行為。
• 配置和監(jiān)視：注意管理硬件和軟件配置，僅在絕對(duì)必要時(shí)向特定人員授予管理權(quán)限和訪問權(quán)限。監(jiān)控監(jiān)視網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的使用。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備(如防火墻和路由器)上實(shí)施安全配置，并具有軟件允許列表以防止惡意應(yīng)用程序被執(zhí)行。
• 修補(bǔ)程序和更新：定期進(jìn)行漏洞評(píng)估，并對(duì)操作系統(tǒng)和應(yīng)用程序進(jìn)行定期修補(bǔ)或虛擬修補(bǔ)。確保所有已安裝的軟件和應(yīng)用程序都已更新到其最新版本。
• 保護(hù)和恢復(fù)：實(shí)施數(shù)據(jù)保護(hù)、備份和恢復(fù)措施。在所有可用的設(shè)備和平臺(tái)中使用多因素身份驗(yàn)證。
• 安全保衛(wèi)：執(zhí)行沙盒分析以檢查和阻止惡意電子郵件。將最新版本的安全解決方案應(yīng)用于系統(tǒng)的所有層，包括電子郵件、端點(diǎn)、web和網(wǎng)絡(luò)。發(fā)現(xiàn)攻擊的早期跡象，如系統(tǒng)中存在可疑工具，并啟用先進(jìn)的檢測(cè)技術(shù)，如采用人工智能和機(jī)器學(xué)習(xí)的技術(shù)。
• 培訓(xùn)和測(cè)試：定期對(duì)所有人員進(jìn)行安全技能評(píng)估和培訓(xùn)，并進(jìn)行red-team演習(xí)和滲透測(cè)試。

本文翻譯自：https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/如若轉(zhuǎn)載，請(qǐng)注明原文地址。