LockBit勒索軟件家族最新動態

2024-04-29 17:12:47
我要分享


微信掃碼分享

LockBit近期事件

聯合行動對LockBit組織的沖擊

2024年2月19日，美國、英國、法國等11個國家聯手發起了代號為“Cronos”的聯合執法行動，旨在打擊LockBit勒索軟件組織。這次行動取得了巨大的成功，行動的主要成果包括：

l? 識別并移除了超過1.4萬個惡意賬戶；

l? 逮捕了兩名LockBit附屬機構成員；

l? 獲得1000多個解密器；

l? 查獲34臺LockBit團伙的服務器，包含源代碼、被攻擊受害者詳情、勒索贖金、被盜數據、聊天記錄等內部信息；

l? 占領其專用數據泄露站點；

LockBit運營者對執法行動的回應

LockBit的運營者在2024年2月24日對此次聯合執法行動做出了回應：

l? 他是該行業唯一一個擁有多個服務器的去中心化基礎設施所有者，這使得他能夠迅速定位攻擊發生的源頭。在遭受攻擊時，他也曾收到警告，但由于過度自信和對娛樂的沉迷，最終導致了攻擊的成功。

l? 拒絕承認與被捕的兩名犯罪分子及其附屬機構直接相關，并指出知道其中一名被捕人員的真實姓名，與發布的被捕人員信息不符合。

l? 警方獲取的解密器僅占解密器總數量的2.5%，大部分解密器是被保護的。

l? 未來想要加入該附屬機構的成員需要在論壇上具備一定的聲譽，或存入2個比特幣，存款的增加完全是因為此次執法行動給LockBit打了一個漂亮的廣告：LockBitSupp和附屬公司已通過LockBit勒索加密活動賺了數億美元。

LockBit運營者對FBI的執法行動提出了一種猜測，認為這是為了防止唐納德·特朗普的法庭案件曝光，因為這些案件可能會影響即將到來的美國大選。他們指出，如果不是因為選舉的背景，聯邦調查局可能會繼續秘密監視他們的服務器以提出刑事指控。因此，他們計劃更頻繁、更廣泛地攻擊政府部門，此類攻擊能暴露該團伙基礎設置存在的漏洞并迫使執法部門展示其能力。LockBit運營者表示，此次攻擊并未對其造成任何打擊，反而激起了戰斗力，后續將不再沉迷于娛樂，將投入更多的精力到勒索活動中。

LockBit勒索活動的恢復

在執法部門占領LockBit數據泄露網站后，LockBit運營者很快創建了新的專用數據泄露網站(DSL)。從2024年2月19日后，LockBit組織又在DSL發布了106個受害組織/企業的數據。

圖1. LockBit泄密站點?

在執法行動事件之前，LockBit就被監控到有在秘密開發一個名為LockBit NG Dev(NG for Next Generation)的惡意軟件(LockBit4.0)，此次4.0版本使用.NET對LockBit的代碼進行了重構。但360安全大腦也監測到了使用C++生成的4.0版本。

圖2. LockBit勒索軟件家族版本更迭路徑?

LockBit2.0版本的源碼曾被泄露，但被其他勒索軟件家族利用的并不多，比較出名的有TommyLeaks以及SchoolBoys勒索軟件家族。但在LockBit3.0的加密程序構建器泄露后，因其出色的加密能力，以及構建器的高可定制化等，出現了大量該勒索軟件家族的衍生品。例如本月新增的自稱為Balloon的勒索軟件以及眾多其它變種(目前國內遭受勒索加密的情況顯示，受害者的文件出現了隨機后綴時，經過識別后確認大多數是LockBit的變種。這些變種要么是泄露的LockBit3.0版本，要么是最新的LockBit 4.0版本)。

一場鬧劇

近期360安全大腦捕獲到一個LockBit3.0的變種，其勒索提示信息用中文繁體提示受害者向指定的比特幣錢包地址匯入0.02BTC以解密文件。

圖3. LockBit 3.0勒索提示信息

在贖金談判中，黑客聲稱即將步入婚姻殿堂，將不再從事違法活動，并免費提供解密程序。然而，經分析測試，附件中的解密器和加密程序并非基于同一對私鑰和公鑰生成的，無法成功解密被勒索加密的文件。這是因為，LockBit3.0泄露的解密器是基于生成勒索所用的公鑰匹配的私鑰生成的，如果不匹配，就無法用于該勒索的解密!

圖4. 泄露出的LockBit 3.0解密器?

這一情況的出現，主要是因為在LockBit3.0的生成器遭泄露后出現了大量該組織外人員利用生成器創建自己定制的“LockBit3.0”勒索軟件。但由于各自為戰的黑客們互不隸屬，也并不屬于同一組織，其所使用的密鑰自然也都是相互無關。而這位聲稱自己結婚并提供解密程序的黑客很有可能便是這種“編外”人員或組織的一分子，他們所提供的解密器的揭密能力自然也是“非常有限”的。同時，這種極富戲劇性的郵件內容也是一種策略，可以顯著降低受害用戶的戒備心理，并增加他們與其溝通聯系的可能性。通過建立聯系，黑客可以進一步了解受害用戶的支付能力和意愿，從而索取高額的贖金。

因此，建議受害用戶保持警惕，不要輕易相信黑客的承諾。在與黑客溝通時，應謹慎選擇溝通方式，并避免透露敏感信息。同時，建議受害用戶盡快尋求專業人士的幫助，以最大程度地降低損失。

圖5. 攻擊者以結婚為名主動提供解密器的郵件?

當受害者提出該解密器無法解密文件時，黑客表示想要解密，必須向其支付贖金。

圖6. 攻擊者繼續索要贖金

LockBit4.0樣本分析

基本情況

名字	LockBit 4.0
威脅類型	勒索軟件，加密病毒，
加密文件擴展名	.xa1Xx3AXs
勒索信	xa1Xx3AXs.README.txt
贖金金額	1000 美元的比特幣加密貨幣
錢包地址	328N9mKT6xFe6uTvtpxeKSymgWCbbTGbK2
是否可解密	否
黑客郵箱	**********@proton.me

表1. LockBit 4.0樣本基本信息?

獲取到的LockBit4.0樣本和之前分析的3.0樣本本質上并沒有太大的區別，其中一些配置存在些許變化：

圖7. LockBit 4.0配置信息變化?

配置信息使用了APLib進行壓縮,解壓縮后包含RSA公鑰、掩碼等，還包括自定義Base64的編碼數據：

RSA公鑰為：

AQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAjY1Z56OlKFMAYvC8NjHhkHAFF3+QoaqUZKjr6nlS9UbQfcVIsbrkjfP1UFjhcKB1L8qgVNF1xsQDr+smftC4xlaZ3882jzv7WJ+ihBZjorKyBiByhF64bAQzd7/XHzcEGl0Uk6O0mCaI5S/SOh2ejkE9ExjVYI+QA/xO+/CpPcw==

圖8. LockBit 4.0內置密鑰字符串?

配置說明

我們對Lockbit 4.0的配置進行了解密，詳細內容如下表所示：

配置字段	值	含義注釋
encrypt_mode	auto	加密模式
encrypt_filename	FALSE	加密文件名
impersonation	TRUE	冒充
skip_hidden_folders	FALSE	跳過隱藏文件夾
language_check	FALSE	語言檢查
local_disks	TRUE	本地磁盤
network_shares	TRUE	網絡共享
kill_processes	TRUE	結束進程
kill_services	TRUE	結束服務
running_one	TRUE	單實例運行
print_note	TRUE	打印提示
set_wallpaper	TRUE	設置壁紙
set_icons	TRUE	設置圖標
send_report	FALSE	發送報告
self_destruct	TRUE	自我銷毀
kill_defender	TRUE	關閉殺軟
wipe_freespace	FALSE	擦除空閑空間
psexec_netspread	FALSE	psexec 網絡擴散
gpo_netspread	TRUE	gpo 網絡擴散
gpo_ps_update	TRUE	gpo ps 更新
shutdown_system	FALSE	關閉系統
delete_eventlogs	TRUE	刪除事件日志
delete_gpo_delay	1	刪除 gpo 延遲

表2. LockBit4.0配置文件字段及對應含義?

除上述基本配置字段外，還有一些較為重要的配置信息所對應內容如下：

white_folders - 文件夾白名單

$recycle.bin; config.msi; $windows.~bt; $windows.~ws; windows; boot; system volume information; tor browser; windows.old; intel; msocache; perflogs; x64dbg; public; all users; default; microsoft;

white_files - 文件名白名單

autorun.inf; boot.ini; bootfont.bin; bootsect.bak; desktop.ini; iconcache.db; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; thumbs.db; GDIPFONTCACHEV1.DAT; d3d9caps.dat;

white_extens - 文件后綴白名單

386; adv; cab; cmd; com; cpl; cur; deskthemepack; diagcab; diagcfg; diagpkg; drv; exe ;hlp; icl; icns; ico; ics; idx; ldf; lnk; mod; mpa; msc; msp; msstyles; msu; nls; nomedia; ocx; prf; rom; scr; shs; spl; sys; theme; themepack; wpx;l ock; key; hta; pdb; search-ms;

white_hosts - hosts白名單

WS2019

kill_processes - 進程清理列表

sql; oracle; ocssd; dbsnmp; synctime; agntsvc; isqlplussvc; xfssvccon; mydesktopservice; ocautoupds; encsvc; firefox; tbirdconfig; mydesktopqos; ocomm; dbeng50; sqbcoreservice; excel; infopath; msaccess; mspub; onenote; outlook; powerpnt; steam; thebat; thunderbird; visio; winword; wordpad; notepad; calc; wuauclt; onedrive;

kill_services - 服務清理列表

vss; sql; svc$; memtas; mepocs; msexchange; sophos; veeam; backup; GxVss; GxBlr; GxFWD; GxCVD; GxCIMgr;

impers_accounts - 弱口令列表

ad.lab:Qwerty!; Administrator:123QWEqwe!@#; Admin2:P@ssw0rd; Administrator:P@ssw0rd; Administrator:Qwerty!; Administrator:123QWEqwe; Administrator:123QWEqweqwe;

最后，4.0版本給受害者留下的勒索信較此前的3.0版本也有所變化——將之前的暗網鏈接全部去除，并用Proton郵箱（采用了端到端加密技術）進行替代。推測這一做法的主要目的是為了讓普通用戶更容易與攻擊者取得聯系。

圖9. LockBit4.0勒索信內容示例

圖10. LockBit3.0勒索信內容示例

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

LockBit勒索軟件家族最新動態

熱點排行

關注我們