研究人員表示，LockBit勒索軟件即服務(wù)(RaaS)團(tuán)伙加大了針對性攻擊力度，試圖使用其惡意軟件的2.0版針對智利、意大利、臺灣和英國的公司。

創(chuàng)新互聯(lián)建站是一家專注于成都網(wǎng)站設(shè)計、做網(wǎng)站與策劃設(shè)計,鹽山網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:鹽山等地區(qū)。鹽山做網(wǎng)站價格咨詢:13518219792

根據(jù)趨勢科技周一發(fā)布的分析，7月和8月的攻擊使用了LockBit 2.0，其特點是增強(qiáng)了加密方法。

據(jù)報道：“與LockBit在2019年的攻擊和功能相比，該版本包括通過濫用Active Directory(AD)組策略跨Windows域自動加密設(shè)備，促使其背后的組織聲稱它是當(dāng)今市場上最快的勒索軟件變種之一?！薄癓ockBit 2.0以擁有當(dāng)今勒索軟件威脅環(huán)境中最快、最有效的加密方法之一而出名。我們的分析表明，雖然它在加密中使用了多線程方法，但它也只對文件進(jìn)行了部分加密，因為每個文件只加密了4KB的數(shù)據(jù)?！?/p>

趨勢科技指出，這些攻擊還包括從目標(biāo)公司內(nèi)部招募內(nèi)部人員。惡意軟件感染程序的最后一步是將受害者的電腦壁紙更改為有效的廣告，其中包括有關(guān)組織內(nèi)部人員如何參與“附屬招募”的部分信息，并保證支付數(shù)百萬美元和承諾匿名，以換取憑據(jù)和訪問權(quán)限。

研究人員表示，新一波攻擊正在采用這種策略，“似乎是為了消除(其他威脅行為者群體的)中間人，并通過提供有效憑據(jù)和訪問公司網(wǎng)絡(luò)來實現(xiàn)更快的攻擊”。

值得注意的是，LockBit也是最近埃森哲網(wǎng)絡(luò)攻擊事件背后的罪魁禍?zhǔn)住?/p>

LockBit 2.0感染程序

為了對目標(biāo)公司網(wǎng)絡(luò)進(jìn)行初始訪問，LockBit團(tuán)伙招募了上述成員和助手，他們通常通過有效的遠(yuǎn)程桌面協(xié)議(RDP)帳戶憑據(jù)對目標(biāo)進(jìn)行實際入侵。為了幫助實現(xiàn)這一目標(biāo)，LockBit的創(chuàng)建者為他們的合作伙伴提供了一個方便的StealBit特洛伊木馬變種，這是一種用于建立訪問權(quán)限和自動泄露數(shù)據(jù)的工具。

該報告指出，一旦進(jìn)入系統(tǒng)，LockBit 2.0就會使用一整套工具來進(jìn)行偵查。Network Scanner會評估網(wǎng)絡(luò)結(jié)構(gòu)并識別目標(biāo)域控制器。它使用多個批處理文件從而達(dá)到不同目的，其中包括終止安全工具、啟用RDP連接、清除Windows事件日志以及確保關(guān)鍵進(jìn)程(例如Microsoft Exchange、MySQL和QuickBooks)不可用。它還會停止Microsoft Exchange并禁用其他相關(guān)服務(wù)。

但這還不是全部：“LockBit 2.0還濫用Process Hacker和PC Hunter等合法工具來終止受害系統(tǒng)中的進(jìn)程和服務(wù)?！?/p>

在第一階段結(jié)束之后，就開始進(jìn)行橫向運動了。

趨勢科技研究人員解釋說：“一旦進(jìn)入域控制器，勒索軟件就會創(chuàng)建新的組策略并將它們發(fā)送到網(wǎng)絡(luò)上的每臺設(shè)備?！薄斑@些策略禁用Windows Defender，并將勒索軟件二進(jìn)制文件分發(fā)和執(zhí)行到每臺Windows計算機(jī)?！?/p>

這個主要的勒索軟件模塊繼續(xù)向每個加密文件添加“.lockbit”后綴。然后，它會在每個加密目錄中放一張贖金便條，威脅雙重勒索。便條一般會告訴受害者，文件被加密了，如果他們不付款，就把他們公開發(fā)布。

LockBit 2.0的最后一步是將受害者的桌面壁紙更改為上述招聘廣告，其中還包括有關(guān)受害者如何支付贖金的說明。

LockBit的持續(xù)進(jìn)化

趨勢科技一直在跟蹤LockBit，并指出其運營商最初與去年10月關(guān)閉的Maze勒索軟件組織合作。

Maze是雙重勒索策略的先驅(qū)，于2019年11月首次出現(xiàn)。它發(fā)起了持續(xù)不斷的攻擊活動，例如對Cognizant的攻擊。2020年夏天，它成立了一個網(wǎng)絡(luò)犯罪“卡特爾”——與各種勒索軟件(包括Egregor)聯(lián)手，并共享代碼、想法和資源。

研究人員解釋說：“在Maze關(guān)閉后，LockBit團(tuán)伙繼續(xù)使用自己的泄漏站點，這導(dǎo)致了LockBit的發(fā)展?！薄耙郧暗陌姹撅@示了已有的勒索軟件的特征，它使用了加密文件、竊取數(shù)據(jù)和在未支付贖金時泄露被盜數(shù)據(jù)的雙重勒索技術(shù)?！?/p>

現(xiàn)在的LockBit 2.0似乎是受到了Ryuk和Egregor的影響，這可能是由于共享代碼DNA。趨勢科技指出的兩個顯著的例子是：

• 受Ryuk勒索軟件啟發(fā)的LAN喚醒功能，發(fā)送Magic Packet“0xFF 0xFF 0xFF 0xFF 0xFF 0xFF”以喚醒離線設(shè)備。
•  在受害者的網(wǎng)絡(luò)打印機(jī)上打印勒索信，類似于Egregor使用的引起受害者注意力的方式。它使用Winspool API在連接的打印機(jī)上枚舉和打印文檔。

趨勢科技研究人員總結(jié)道：“我們……推測這個團(tuán)體將在很長一段時間內(nèi)繼續(xù)保持活躍狀態(tài)，特別是因為現(xiàn)在它正在廣泛招募成員和組織內(nèi)部人員，使其更有能力感染許多公司和行業(yè)?！薄巴瑫r，為LockBit 2.0的升級和進(jìn)一步開發(fā)做好準(zhǔn)備也是明智之舉，特別是現(xiàn)在許多公司都了解了它的功能及其工作原理。”

如何保護(hù)組織免受勒索軟件的侵害

以下是互聯(lián)網(wǎng)安全中心和美國國家標(biāo)準(zhǔn)與技術(shù)研究所推薦預(yù)防LockBit 2.0和其他惡意軟件感染的最佳做法：

• 審計和盤存：對組織的所有資產(chǎn)和數(shù)據(jù)進(jìn)行審計，識別出經(jīng)過授權(quán)和未經(jīng)授權(quán)的設(shè)備、軟件以及僅特定人員可訪問的系統(tǒng)。審計和監(jiān)控所有重大事件和突發(fā)狀況的日志，從而識別一場模式或行為。
• 配置和監(jiān)視：注意管理硬件和軟件配置，僅在絕對必要時向特定人員授予管理權(quán)限和訪問權(quán)限。監(jiān)控監(jiān)視網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的使用。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備(如防火墻和路由器)上實施安全配置，并具有軟件允許列表以防止惡意應(yīng)用程序被執(zhí)行。
• 修補(bǔ)程序和更新：定期進(jìn)行漏洞評估，并對操作系統(tǒng)和應(yīng)用程序進(jìn)行定期修補(bǔ)或虛擬修補(bǔ)。確保所有已安裝的軟件和應(yīng)用程序都已更新到其最新版本。
• 保護(hù)和恢復(fù)：實施數(shù)據(jù)保護(hù)、備份和恢復(fù)措施。在所有可用的設(shè)備和平臺中使用多因素身份驗證。
• 安全保衛(wèi)：執(zhí)行沙盒分析以檢查和阻止惡意電子郵件。將最新版本的安全解決方案應(yīng)用于系統(tǒng)的所有層，包括電子郵件、端點、web和網(wǎng)絡(luò)。發(fā)現(xiàn)攻擊的早期跡象，如系統(tǒng)中存在可疑工具，并啟用先進(jìn)的檢測技術(shù)，如采用人工智能和機(jī)器學(xué)習(xí)的技術(shù)。
• 培訓(xùn)和測試：定期對所有人員進(jìn)行安全技能評估和培訓(xùn)，并進(jìn)行red-team演習(xí)和滲透測試。

本文翻譯自：https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/如若轉(zhuǎn)載，請注明原文地址。

當(dāng)前標(biāo)題：LockBit2.0勒索軟件在全球擴(kuò)散
文章網(wǎng)址：http://uogjgqi.cn/article/cdhpcdp.html