黑客世界的“狂飙”,起底网络犯罪集团 LockBit

本文作者丨James-23、七里香

“在京海,天上掉下个钢镚都得姓高。”在热播电视剧《狂飙》中,高启强的弟弟高启盛在KTV里无比猖狂的说着这句话。

黑客世界里也有“狂飙”,在网络空间之中,有一个犯罪集团堪比高启强犯罪团伙,依靠手中异常犀利的攻击加密技术,黑了无数大型跨国集团、政府机构、事业组织等,一年发布的勒索赎金金额上亿美元,更是嚣张地在暗网公布了所有的被勒索名单,这些受害机构一旦遭到攻击,轻则造成业务系统瘫痪,蒙受经济损失,重则导致社会性服务的停止,影响城市甚至国家正常运行。

由此可见,其猖狂程度和高启盛有的一拼。而当我们细细发掘该犯罪集团的“狂飙之路”,却又发现其发家历程和强盛集团十分相似。

它就是“LockBit”,一个臭名昭著的勒索组织。

如同“狂飙”里,强盛集团一路过关斩将,把京海市诸多老牌黑恶势力团队打落马下,掌控着当地的地下市场一样,LockBit勒索组织经过三次迭代,快速超越各大老牌勒索组织,最终在2022年登上了LockBit勒索软件领域的NO.1。

他们都是从默默无闻开始,却一路狂奔,短时间内声名鹊起,成为了行业领头羊。今天,咱们来聊聊LockBit勒索组织的那些事。

一、处于NO.1地位的LockBit的勒索组织

2022年,在全球数字化转型的大浪潮下,全球网络形势愈发严峻,其中尤其以勒索攻击最令人头疼,轻则影响公司业务正常运转,重则数据被加密,索要巨额赎金。

好在在全球各国/地区不遗余力的打击之下,2022年勒索攻击整体呈现下降趋势。根据 Google 子公司 Mandiant 的报告,勒索攻击在2022年似乎遭遇了“挫折”:Mandiant 响应的勒索软件事件减少了 15%。而勒索软件组织索要的赎金平均金额下降了 28%,从一年前的 570 万美元减少到 410 万美元。

另一家安全公司 CrowdStrike 认为,原因包括勒索软件组织的成员遭到逮捕,比特币等加密货币的币值下降等。根据 Chainalysis 的分析,2022 年勒索软件组织的总收入从 2021 年的 7.656 亿美元下降到 2022 年的大约 4.568 亿美元,下降了 40.3%。受害者支付赎金的概率也在下降。

就在勒索攻击行业面临整体下行的趋势下,LockBit却呈现出逆势大幅增长的趋势。就像狂飙里高启强的经典台词:我会怕风浪吗?风浪越大,鱼越贵!LockBit也是如此,在2022年面临巨大的打击力度下,它却反而活的更加滋润。

网络安全公司 Malwarebytes 公布的最新报告显示,在 Windows 平台上 2022 年影响最大的勒索软件是 LockBit,它占勒索软件即服务(RaaS)攻击的三分之一。

另一份报告数据显示,在2022年5月份之前,LockBit几乎是一骑绝尘,在全球范围内打穿超过 850 多家企业机构的防御系统,占同时间段内所有勒索软件相关攻击事件的 46%。

据网络安全公司 Dragos 的数据,2022年第二季度针对工业系统的勒索软件攻击中,约有三分之一是由 LockBit发起的,对工控领域内不少大型企业造成了巨大的打击。而Deep Instinct发布的报告指出,在2022上半年,LockBit发起的勒索攻击约占总攻击数的44%。

短短三年,LockBit勒索软件团伙的受害者数量已高达一千多个,是老牌勒索软件组织 Conti 的 2 倍,更是 Revil 的 5 倍有余。

值得一提的是,LockBit勒索组织的赎金获得率也在诸多老牌勒索组织之上。就2022年数据来看,提出的1亿美元的赎金需求中,勒索成功率高达超过一半,令无数企业闻风丧胆。

难怪有企业安全专家称,LockBit已经成为全球的公敌。

如此高的成功率和LockBit所倡导的勒索软件即服务(RaaS)攻击方式密不可分。所谓勒索软件即服务(RaaS)是一套靠勒索攻击赚钱的盈利模式。与普通的软件公司无异,从开发到销售再到运营,勒索产业链各个环节的建立与协作已然成熟。在规模效益促进各环节赚取更多收入的背景下,越来越多的勒索攻击来自于RaaS。

在LockBit的RaaS模式中,该组织的运营团队只收取20%的赎金分成,剩余的赎金全部分发给其附属组织,高额的分成吸引了大量的勒索攻击团伙,也让导LockBit的勒索组织规模迅速扩大,是其登顶NO.1的核心杀手锏。

二、LockBit 1.0:初入江湖,默默无闻

2019 年 9 月,LockBit 勒索病毒第一次正式亮相,因其使用.abcd 的后缀名来标记已加密的受害者文件,被称惯为“ABCD”勒索软件。早期版本中,LockBit 1.0非常不成熟,作案过程中加密软件不仅使用固定的互斥锁,甚至会残留一些易被杀软、沙箱等安全软件识别和拦截的debug的函数。

随着组织规模不断发展,LockBit1.0开始采用RaaS(Ransomware-as-a-service,勒索软件及服务)模式运营,并在一个著名的俄语论坛XSS上为其合作计划进行广告推广。

八个月后,LockBit 1.0 勒索软件运营商又升级了勒索策略,创建了一个用于公开受害者数据的站点,配合文件加密,试图进一步施压受害者,以期达成“双重勒索”的目的。

经过几次小的升级后,相较于其它勒索软件,LockBit 1.0作案手段更为高超。在针对Windows系统时,加密过程采用 RSA+AES算法加密文件,使用IOCP完成端口+AES-NI指令集提升工作效率,从而实现高性能加密流程,一旦成功加密文件后,所有受害者文件会被添加无法破解的.abcd扩展后缀。

LockBit 勒索软件1.0时期,显示勒索信息的方式主要通过修改受害者系统桌面壁纸(显示勒索信息),并留下名为 Restore-My-Files.txt的勒索信,要求受害者登录暗网,以比特币和门罗币两种形式缴纳赎金。

这个时期的LockBit勒索组织在整个勒索攻击领域还处于默默无闻的地位,既没有拿得出手的勒索攻击事件,又没有非常高超的勒索攻击技术,如同还在市场上卖鱼的高启强,还处于蛰伏阶段。但不可否认的是,在见识了勒索攻击的暴利之后,LockBit勒索组织和刚刚尝到权利甜头的高启强一样,内心的野心已经在疯狂生长。

三、LockBit 2.0牛刀小试,初露锋芒

LockBit 1.0 的狂飙之路并不顺利,进入 2021年后,可以发现其攻击活动明显减少。此时的它们也意识到和顶级勒索团队的差距,回去默默地修炼内功。

2021年6月,经过短暂蛰伏,LockBit勒索组织在其泄密网站上宣布高调回归,并带来全新版本—LockBit 2.0。其宣传广告中,LockBit 团队强调新版本提供了 Tor  网络中的管理面板、自动进行解密测试服务、强大的扫描器功能等更加丰富的配套服务(卷,死命卷)。

根据分析来看,LockBit2.0勒索软件延续了前一版本攻击手法,加密方式仍然采用常见的RSA+AES组合,加密后文件扩展名均为.lockbit ,但加密速度变得更快。

LockBit 2.0版本的勒索软件成功加密系统后,会立刻更换桌面壁纸,并留下名为Restore-My-Files.txt的勒索信。

LockBit勒索团伙号称新版本是全世界加密速度最快的勒索软件,加密速度可达373MB/s,是1.x版本加密速度的1.4倍,一分钟内大约可以加密25000个文件,远超其它勒索软件。

此外,LockBit2.0 中新加入了磁盘卷影和日志文件删除等新功能,使得加密后文件更难恢复。更为恐怖的是,LockBit团伙还开发了自己独有的数据窃取工具“StealBit”提供给附属团伙,以作为招募附属计划的一部分,达到“双重勒索”的目的(StealBit窃密工具速度可达到83.46MB/S,下载100G的文件用时只需要19分钟58秒)。

四、LockBit 3.0疯狂的成名之路

经过前两个版本的迭代,LockBit勒索组织已经策划了好几期非常具有代表性的勒索攻击事件,品尝到了勒索攻击的红利,更加坚定继续迭代升级的决心。

2022 年 6 月发布的LockBit 3.0版本中,改进了RaaS操作,引入勒索软件漏洞赏金计划,邀请安全研究人员提交漏洞报告,以换取1000美元至100万美元的奖金。

相比前两代,LockBit 3.0勒索软件在赎金票据做了很大的改变,不再名为Restore-My-Files.txt,而是一个名为“ [random_string].README.txt ”)的随机动态文本,加密扩展名变化为“HLJkNskoq”或“19MqzqzOs”随机静态形式,且锁定文件的图标为ico形式。

经历三次重大改版后,推出了更具有针对性、破坏性、隐蔽性的现行版本。LockBit 3.0推出来仅2个多月的时间,就在其暗网网站上公布了二百多个受害者,可见其攻击频率之高。

更可怕的是Lockbit3.0甚至还引入了一个“赏金计划”。如同企业发布漏洞赏金计划激励白帽黑客来发掘漏洞一样,Lockbit3.0的赏金计划也是邀请黑客来发现它们勒索软件的不足之处。这也是勒索领域首个“赏金计划”,充分展现出了Lockbit组织那极其庞大的野心。我也可以想象,经过了“赏金计划”的洗礼,Lockbit的勒索攻击必定会更加难以防御,值得我们提高警惕。

五、一场搅动华尔街巨头的勒索攻击

2022年,Lockbit的最高光时刻当属对大宗商品金融数据公司ION Trading UK的勒索攻击。该攻击直接让华尔街、大型银行、交易所、监管机构都懵了,全球衍生品交易员也因此都“瞎了”。

ION Trading UK是一家大宗商品金融数据公司,其清算衍生品部门在今年1月下旬遭到勒索软件攻击,部分衍生品系统被禁用,全球多家大型银行、交易所和监管机构因此受到牵连。

自电子系统问世以来,期货市场一直依赖以ION为首的数据公司生产的自动化软件来处理交易。ION是少数几家能够处理经纪商交易匹配和协调这一复杂但关键工作的公司之一。

当ION被攻击后,整个期货市场直接就崩了,仿佛回到了上世纪80年代:交易员和经纪商们纷纷开始使用电子表格来手动跟踪交易。网络安全公司Quod Orbis的首席执行官Martin Greenfield补充说道,“这对于大多数银行来说,无疑是一场噩梦。”

据外媒报道,ION被攻击可能影响到的银行包括加拿大皇家银行(RBC)、瑞银(UBS)、麦格理(Macquarie)、荷兰银行(ABN Amro)的清算部门,以及意大利资产规模最大的联合圣保罗银行(Intesa Sanpaolo)。

华尔街特大型交易柜台亦绷紧了神经:青睐该衍生品平台的花旗集团、美国银行、摩根士丹利等大型银行机构正在仔细评估通过ION系统发送的交易信息。有知情人士称,虽然华尔街大型银行在证券等市场的业务尚未被殃及,但最新举动凸显出银行业的谨慎,毕竟ION的衍生品平台几乎被所有的大型银行所采用。

受波及还有期货交易所及监管部门。美国商品期货交易委员会(CFTC)宣布推迟三周发布其交易商承诺(COT)报告;泛欧交易所(Euronext)推迟发布大宗商品衍生品持仓周报;洲际交易所(ICE)则无法按照欧洲规则的要求提供每周期货头寸报告。

最后,ION无法顶住各方带来的巨大压力,向Lockbit勒索组织缴纳了赎金,获得了对方提供的解密密钥,快速完成了断线后的恢复进程。

毫无疑问,这是一场令金融行业印象深刻的勒索攻击,也让Lockbit勒索组织的大名被各大金融巨头所熟知,产生的巨大危害让这些华尔街巨头们依旧心有余悸。

六、LockBit 勒索软件席卷全球

ION 勒索攻击案例仅仅是诸多战绩之一,在其整体发展过程中对全球企业机构进行了无数攻击行为,受害者涵盖政府,能源、航空航天、信息技术、咨询、交通等众多重要行业,波及英国、美国、澳大利亚、意大利、奥地利、比利时、巴西、德国等数十个国家。

讽刺的是,LockBit 勒索软件出道时,曾喊出“让勒索软件再次伟大”的响亮口号,而且似乎正在超着这个目标前进。

法国司法部

Lockbit 2.0 勒索软件时代,其暗网博客上法国司法部添加到受害者名单中,并要挟其必须在 2 月 10 日前支付赎金,否则所有被盗数据都将被发布至暗网,随后,法国司法部回应称已知悉情况并采取措施积极应对;

加拿大、德国军方供应商Top Aces

2021年5月,加拿大、德国军方的独家战机培训供应商Top Aces透露遭到LockBit勒索软件攻击。不久后,LockBit团伙的官方网站放出要求,若是收不到赎金将公布窃取的44GB内部数据。

IT咨询巨头财富500强公司埃森哲

21年8月,全球IT咨询巨头财富500强公司埃森哲遭遇了LockBit勒索软件组织的勒索软件网络攻击。该组织声称从埃森哲窃取了6TB的数据,并要求支付5000万美元的赎金。

曼谷航空公司

21年8月,LockBit软件勒索团伙攻击了曼谷航空公共有限公司。事件发生之后,该航空公司立即与网络安全专家合作,核实了损坏的数据和受影响的乘客,并采取其他相关措施加强公司信息系统建设。

美国加利福尼亚州财政部

22年4月,LockBit勒索软件团伙在其Tor泄密网站上发布消息表示,他们对美国加利福尼亚州财政部实施了入侵并成功窃取了数据库、机密资料、财务文件和IT文件。随后不久加州州长紧急服务办公室证实,财政部确实受到了网络事件的影响。

意大利税务局

2022年7月,意大利《晚邮报》报道,勒索软件团伙Lockbit成功入侵了意大利税务局,并从中窃取了约78GB数据,此后更是威胁意大利税务局在5天内支付赎金,否则将公布盗取的全部数据。

法国电信运营商La Poste Mobile

2022年7月4日,Lockbit 勒索软件团伙袭击了法国电信运营商La Poste Mobile,成功进入其网站和客户系统,盗取了员工计算机中的部分文件。

微软服务器

2022年7月,LockBit 3.0勒索软件在被破坏的Exchange服务器上部署了Web shell,然后只花了7天时间就将权限升级为活动目录管理员,并在加密网络中托管的系统之前窃取了大约1.3TB的数据。

英国汽车经销商集团Pendragon

2022年10月,英国著名汽车经销商集团Pendragon遭遇LockBit勒索软件组织攻击,部分数据被窃取。LockBit表示必须在截止日期前支付6000万美元赎金,否则会公开被盗数据。

咨询和IT服务提供商Kearney & Company

2022年11月,勒索团伙LockBit声称窃取了咨询和IT服务提供商Kearney & Company的数据,此后不久便将该公司添加到被攻击名单中,并威胁如果不付赎金,会在2022年11月26日之前公布窃取的数据。

能够进行如此多的勒索行动,可见LockBit勒索软件组织和强盛集团一样都深谙“经营之道”。没有做吃山空,而是经过不间断迭代和优化,最终成为令企业闻风丧胆的勒索组织。

七、勒索软件防御指南

勒索软件的危害依旧在疯狂蔓延,若行业内不能够投入足够注意力,勒索软件可能会继续野蛮生长,直至无敌于“网络江湖”。此外,勒索软件治理是网络攻击者和安全人员双方的较量,需要耐心、策略、时机、方式。

以 LockBit勒索软件为例,在持续迭代更新每一个版本的攻击方式、策略、入侵点等,安全人员很难形成完备的修复体系。因此,在勒索软件治理过程中,预防远远比修复更重要,采取系统化,综合施策、系统治理、多方联合,形成预防勒索软件的围墙,强烈建议大家做好以下防护措施:

尽可能使用复杂密码:企业内部在设置服务器或者内部系统密码时,应采用复杂的登陆凭证,例如必须包括数字、大小写字母、特殊符号,且长度至少为8位的密码,并定期更换口令。

双重验证:对于企业内部敏感信息,需要基于密码的登录基础上,增加其它层防御以阻止黑客攻击,例如在部分敏感系统上安装指纹、虹膜等生物识别验证或物理 USB 密钥身份验证器等措施。

“四不要”:不要点击来源不明邮件;不要浏览色情、赌博等不良信息网站;不要安装来源不明软件,谨慎安装陌生人发送的软件;不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

数据备份保护:防止数据丢失最好的真正保障永远是离线备份,因此,对关键数据和业务系统做备份十分必要。注意,备份要清晰,标注每个阶段的备份,确保在某个备份受到恶意软件感染时能够及时找回。

要常杀毒、关端口:安装杀毒软件并定期更新病毒库,定期全盘杀毒;关闭不必要的服务和端口(包括不必要的远程访问服务<3389端口、22端口>、不必要的135、139、445等局域网共享端口等)。

加强员工安全意识:安全生产最大的隐患在于人员,钓鱼、社工、投毒、弱密码这些关键因素都与人员的安全意识息息相关,因此要做好整体的安全加固和防御能力提升,就要切实提升人员的安全意识。

及时给办公终端和服务器打补丁:对操作系统以及第三方应用及时打补丁,防止攻击者通过漏洞入侵系统。