去年,LockBit 3.0 加密软件生成工具被泄露,研究人员现在正在监控直接从该事件中出现的数百个新分支版本。
卡巴斯基网络安全研究人员发现了 LockBit 的一个经过重大修改的版本。据信该版本是由一个自称“国家危险机构”的组织分发的,与 LockBit 3.0 的主要区别在于“勒索字条”。
LockBit 通常不会指定换取解密密钥所需支付的金额,并使用自己的平台与受害者进行沟通和协商。然而,该组织已准确告知受害者其期望获得多少钱,并敦促他们使用 Tox 服务和电子邮件进行沟通。
什么是 LockBit 勒索软件?
LockBit 是范围广泛的勒索网络攻击中的一种新型勒索软件攻击。它以前被称为“ABCD”勒索软件,而这种特定攻击已经发展成为同类勒索工具中的一种独特威胁。LockBit 是被称为“加密病毒”的勒索软件的一个子类,因为它构造了与财务付款有关的勒索请求,以换取解密。它主要针对的是企业和政府组织,而不是个人。
使用 LockBit 的攻击最初始于 2019 年 9 月,当时被称为“.abcd 病毒”。这个名称是指加密受害者文件时使用的文件扩展名。过去的主要目标包括美国、中国、印度、印度尼西亚、乌克兰的公司。此外,欧洲各地的许多国家/地区(法国、英国、德国)也遭受了攻击。
可行的目标是那些因中断而感到业务受阻并愿意为消除阻碍而支付巨款的公司,并且这些公司有足够的资金支付赎金。因此,这可能导致针对大型企业(从医疗保健到金融机构)发起广泛攻击。在自动审查过程中,该恶意软件似乎也有意避免攻击俄罗斯或独立国家联合体内任何其他国家/地区的本地系统。可能是为了避免在这些地区遭到检举。
LockBit 采用了勒索软件即服务 (RaaS) 的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由 LockBit 开发人员团队和发起攻击的会员分配,后者最多可获得 3/4 的赎金。
数百种 LockBit 分支版本
卡巴斯基的遥测发现了近 400 个独特的 LockBit 样本,其中 312 个是使用泄露的生成工具创建的。
LockBit 是最成功的勒索软件。 这些组织发布的安全报告指出,自 2020 年以来,仅美国的受害者就估计利用 LockBit 被盗了 9100 万美元。 过去 3 年中,该组织已成功入侵约 1,700 个美国组织。
LockBit 威胁的类型
作为最新的勒索软件攻击,LockBit 威胁可能是一个重大问题。
变体 1 – .abcd 扩展名
LockBit 的原始版本使用扩展名“.abcd”来重命名文件。此外,它还包含一个勒索备注,在“Restore-My-Files.txt”文件中提供了关于执行恢复的要求和说明,该文件已插入每个文件夹中。
变体 2 – .LockBit 扩展名
该勒索软件的第二个已知版本采用了“.LockBit”文件扩展名,这也是它当前这个绰号的来源。但是,受害者会发现,尽管对后端进行了一些修订,但此版本的其他特征似乎基本相同。
变体 3 – .LockBit 版本 2
下一个可识别的 LockBit 版本在勒索说明中不再要求受害者下载 Tor 浏览器。相反,它通过传统的互联网访问将受害者转至备用网站。
后续 LockBit 更新和修订
最近,LockBit 已通过更多恶意功能进行了增强,例如使管理权限检查点失效。LockBit 现在可禁用当应用程序尝试以管理员身份运行时用户可能看到的安全提示。
此外,该恶意软件现在可窃取服务器数据的副本,并在勒索备注中包含了额外几行勒索要求。为了防范受害者不遵守指示,LockBit 现在威胁,它将公开发布受害者的隐私数据。
