團隊背景

2019 年 9 月(yue)，LockBit 勒(le)索病毒首次正式亮(liang)相(xiang)，其(qi)因使(shi)用后綴名.abcd來標記已加密的受害者文件，被(bei)(bei)稱(cheng)為“ABCD”勒(le)索軟件。早期(qi)版本 LockBit1.0 非(fei)常(chang)不成熟(shu)，作案(an)過程中加密軟件不僅使(shi)用固定的互斥(chi)鎖(suo)，甚(shen)至會殘留一些易(yi)被(bei)(bei)殺毒軟件、沙箱等(deng)安全軟件識別和攔截的 debug 函數。

隨(sui)著(zhu)組(zu)織規(gui)模不斷發展(zhan)，LockBit 1.0 開始采用RaaS(Ransomware-as-a-service勒(le)索(suo)軟件(jian)及服務(wu)) 模式運營(ying)，即開發并分發勒(le)索(suo)軟件(jian)工具(ju)供其他(ta)惡意行為者使(shi)用，并在一個著(zhu)名的俄語論壇XSS上為其合作(zuo)計劃進(jin)行推廣。

八(ba)個月后，LockBit 1.0 勒(le)索軟件(jian)(jian)運營(ying)商(shang)又升級了(le)勒(le)索策略，創建了(le)一個用于公開受害(hai)者數據(ju)的站點，配合(he)文件(jian)(jian)加密(mi)，試(shi)圖(tu)進一步施壓受害(hai)者，以期達成(cheng)“雙重勒(le)索”的目的。

經過幾次小的(de)升(sheng)級(ji)后(hou)，相較于其他(ta)勒索軟(ruan)件，LockBit 1.0作(zuo)案手段更為(wei)高(gao)超。針對Windows 系統的(de)加(jia)密過程采用RSA + AES算法(fa)加(jia)密文(wen)件，使用IOCP完成端口(kou)+AES-NI指令集提升(sheng)工作(zuo)效率，從而實現高(gao)性能加(jia)密流(liu)程，一旦(dan)成功(gong)加(jia)密文(wen)件，所(suo)有受害者的(de)文(wen)件會被添加(jia)無法(fa)破解的(de).abcd 擴展后(hou)綴。

LockBit勒(le)索(suo)(suo)軟(ruan)件1.0時期，主要通過修改(gai)受害者系統(tong)桌面壁紙來顯示勒(le)索(suo)(suo)信息，并留下名為Restore-My-Files.txt的(de)勒(le)索(suo)(suo)信，要求受害者登錄(lu)暗網，用比特幣或門羅幣繳納贖金。

后來這個(ge)團伙因(yin)多(duo)起引人注(zhu)目的攻擊而成名(ming)。例如(ru)，在2022年(nian)6月，他們推出了LockBit 3.0 版本(ben)，并包含了一(yi)個(ge)漏(lou)洞(dong)賞金(jin)計劃，邀請安全(quan)研究(jiu)人員測(ce)試并改進(jin)他們的軟(ruan)件。為發(fa)現系統漏(lou)洞(dong)提(ti)供獎(jiang)勵，這在勒索軟(ruan)件中是一(yi)個(ge)獨特的做法。

自開始運作以(yi)來，LockBit在(zai)網絡(luo)安全(quan)方面產生了顯著影響，其攻擊(ji)通常導(dao)致受害方的敏感數據(ju)被盜和(he)財務(wu)損失。

“輝煌”歷史

在2022年5月(yue)份之前，LockBit幾乎是一騎絕塵，在全球范(fan)圍(wei)內打穿(chuan)超過850家企(qi)業機構(gou)的防御系統，占同時間段內所有(you)勒索(suo)軟件(jian)(jian)相(xiang)關(guan)攻擊事件(jian)(jian)的 46%。

RaaS 代理模式：

攻擊方式：

據網絡(luo)安全公司Dragos的(de)(de)數(shu)據，2022年(nian)(nian)第二季度針對工業系統(tong)的(de)(de)勒索(suo)(suo)軟件(jian)攻(gong)擊(ji)中，約有三分(fen)之一是由LockBit發起的(de)(de)，對工控(kong)領域(yu)內不少大型企業造成(cheng)了巨(ju)大的(de)(de)打擊(ji)。而(er)Deep Instinct 發布的(de)(de)報告指出(chu)，在2022上半年(nian)(nian)，LockBit發起的(de)(de)勒索(suo)(suo)攻(gong)擊(ji)約占總攻(gong)擊(ji)數(shu)的(de)(de)44%。

短(duan)短(duan)三(san)年，LockBit勒(le)(le)索軟件(jian)團伙的受(shou)害者數量(liang)已高(gao)達一千多個，是(shi)老牌勒(le)(le)索軟件(jian)組織Conti 的2倍，更是(shi)Revil的5倍有余。

值得一(yi)(yi)提的(de)是，LockBit 勒(le)索組織的(de)贖金獲得率也在(zai)諸多老(lao)牌(pai)勒(le)索組織之上。就2022年的(de)數(shu)據來看，其提出的(de)1億(yi)美元的(de)贖金需求中(zhong)，勒(le)索成功率超(chao)過一(yi)(yi)半，令無(wu)數(shu)企業聞風喪膽。

現狀

鑒于此，該團伙(huo)引(yin)起了全球執法(fa)機構(gou)的關注(zhu)。2022 年 11 月，美(mei)國司法(fa)部(DoJ) 指控(kong)擁有俄羅斯和加拿大雙重(zhong)國籍的米哈伊爾·瓦西(xi)里耶夫(Mikhail Vasiliev) 涉嫌參與(yu)LockBit勒(le)索(suo)軟件(jian)行動。該男子目(mu)前在加拿大被(bei)拘留，正(zheng)在等(deng)待(dai)引(yin)渡(du)到美(mei)國。

5月，俄(e)羅斯(si)國民(min)Mikhail Pavlovich Matveev（30歲），又名 Wazawaka、m1x、Boriselcin和(he) Uhodiransomwar，被美國司法部指控參(can)與(yu)了多次勒索軟件(jian)攻(gong)擊(ji)。

美國司法部(bu)公布了兩份起訴書，指控(kong)該男子(zi)使(shi)用三種不(bu)同的勒索(suo)軟件對美國各地眾多受害(hai)者進行(xing)攻擊，包括華盛頓特區和(he)新澤西州的執法機構，以及全(quan)國醫療保健和(he)其他部(bu)門的組織：

2020年6月25日前(qian)后，Matveev和其(qi)LockBit同謀(mou)攻擊了新澤西州(zhou)帕塞(sai)克縣(xian)的一(yi)家執法機構；

2021年4月26日，Matveev和其(qi)Babuk同謀攻擊了華盛頓特區的大(da)都會警察局；

2022年5月27日前后，Matveev和其Hive同(tong)謀攻擊了新澤西州的一家(jia)非營(ying)利性(xing)行為(wei)保健組織。

2024年(nian) 2 月 19 日，臭名昭著的勒索(suo)團伙LockBit網站在(zai)英國國家(jia)犯罪局(ju)(ju)、美國聯邦調(diao)查局(ju)(ju)、歐洲刑警(jing)組織和國際警(jing)察機構聯盟的聯合執法(fa)行動中被查封。

國(guo)政府(fu)聯(lian)合英國(guo)和歐洲刑警組(zu)織公布了有(you)關LockBit勒索軟件組(zu)織的更多(duo)信(xin)息(xi)，他們還透露LockBit擁有(you)193家分(fen)支機構：

被抓謎團

據英國(guo)(guo)國(guo)(guo)家(jia)犯罪局發言人稱，LockBit的(de)(de)服務(wu)已經(jing)中斷(duan)，這是一項持(chi)續(xu)且發展(zhan)中的(de)(de)行動。此次行動是執法(fa)機構與勒索(suo)(suo)團伙之間多年斗爭(zheng)的(de)(de)最新舉措，對LockBit的(de)(de)近期跨(kua)國(guo)(guo)勒索(suo)(suo)運(yun)營造成有力打擊(ji)，也對日益猖獗的(de)(de)勒索(suo)(suo)攻擊(ji)形成有效威懾。

我們(men)查(cha)看LockBit的(de)節點，每(mei)個(ge)已知的(de)LockBit勒索軟件組織網站要(yao)么(me)離線，要(yao)么(me)顯示被 EUROPOL查(cha)封的(de)頁面。執法部門已查(cha)封或拆(chai)除了至少22個(ge)Tor站點，這被稱為(wei)“克羅諾斯行動(dong)”。

在(zai)這之后，LockBit勒索軟(ruan)件集團管理(li)人員向媒體確(que)認他們的網(wang)站(zhan)已被查封：

但是，似乎這次(ci)查封并沒有(you)(you)影響(xiang)到LockBit核心人(ren)員，隨后LockBit勒索軟件組織向Tox上的個人(ren)發布了一(yi)條消息：“FBI 搞(gao)砸了使(shi)用PHP的服(fu)務(wu)器，沒有(you)(you)PHP的備(bei)用服(fu)務(wu)器沒有(you)(you)受到影響(xiang)。”

隨后劇(ju)情發生了反轉，LockBit領(ling)導層(ceng)(ceng)聲明：我們就執法部門宣布將于(yu)2024年2月(yue)23日星期五公布LockBit領(ling)導層(ceng)(ceng)的事宜與LockBit 勒索軟件組織的管(guan)理人(ren)員(yuan)進行(xing)了交談。

LockBit回(hui)復道：“讓他(ta)們透露吧，我(wo)確信他(ta)們不知道我(wo)的身份(fen)。”進而，LockBit 勒索(suo)軟件組將名字改為“FBI Supp”，用(yong)來嘲諷執法機構：

現在看來(lai)最終(zhong)的(de)主(zhu)謀(mou)似乎并沒有被抓(zhua)獲(huo)，甚(shen)至LockBit公開懸(xuan)賞更大(da)的(de)金額來(lai)讓大(da)眾尋找自己。

總結

這次(ci)打擊行(xing)動是(shi)對勒索軟件(jian)團(tuan)伙的(de)一系列執(zhi)法(fa)舉措中(zhong)最新(xin)的(de)一環。去年底(di)，美國聯(lian)邦(bang)調查局和其(qi)他機構已經成(cheng)功摧毀了(le)Qakbot、Ragnar Locker 等多個勒索軟件(jian)團(tuan)伙的(de)網絡和基礎設施。

在(zai)最近的(de)慕尼黑(hei)網(wang)絡(luo)安全會議上，美國司法部副部長(chang)強調了美國對抗勒索軟件和網(wang)絡(luo)犯(fan)罪的(de)決(jue)心，提出將采用更快速(su)、主(zhu)動的(de)策略，以預防和破壞這些犯(fan)罪活(huo)動為重(zhong)點(dian)。

隨著(zhu)數字技術的(de)發展，依賴加密貨幣的(de)網(wang)絡(luo)犯(fan)罪已經成(cheng)為(wei)全(quan)球(qiu)性(xing)的(de)重(zhong)大挑戰(zhan)。勒索軟件(jian)等網(wang)絡(luo)犯(fan)罪不僅(jin)給個(ge)人(ren)和企(qi)業帶來損失，而且對(dui)整個(ge)社會構成(cheng)了嚴(yan)重(zhong)風險。據(ju)統計，去年網(wang)絡(luo)犯(fan)罪分子向全(quan)球(qiu)的(de)受害者勒索超過11億美元。

此(ci)外(wai)，勒索軟件治理是網絡攻擊者和安全(quan)人(ren)員雙方的較量，需要耐心、策略、時(shi)機。

以LockBit勒索軟件為例，其持續迭代更新每一個版本的攻擊方式、策略、入侵點等，這使得安全人員很難形成完備的修復體系。因此，在勒索軟件治理過程中，預防遠(yuan)遠(yuan)比(bi)修復更重要，要采取系統(tong)化、綜合施策、系統(tong)治理、多方聯(lian)合的方式，形成預(yu)防勒索軟件的圍墻，強(qiang)烈建議大家(jia)做好以下(xia)防護措施：

1.盡可能使用復雜密碼：企業內部在設置(zhi)服務器(qi)或者內部系(xi)統密(mi)碼(ma)時，應采用復雜的登錄(lu)憑證，例如必須包括數字、大小(xiao)寫字母、特(te)殊符號，且(qie)長度至少為8位的密(mi)碼(ma)，并(bing)定(ding)期更換口令。

2.雙重驗證：對(dui)于企業內部敏(min)感信(xin)息，需(xu)要基(ji)(ji)于密(mi)(mi)碼的登錄基(ji)(ji)礎上，增加其(qi)他層防御以阻止(zhi)黑客攻(gong)擊，例如在部分敏(min)感系(xi)統上安(an)裝指紋、虹膜等生物識別驗證或使用物理 USB密(mi)(mi)鑰(yao)身份驗證器等措施。

3.四不要：不(bu)(bu)(bu)(bu)要點(dian)擊來源不(bu)(bu)(bu)(bu)明郵件；不(bu)(bu)(bu)(bu)要瀏覽(lan)色情、賭博等不(bu)(bu)(bu)(bu)良信息網站(zhan)；不(bu)(bu)(bu)(bu)要安裝來源不(bu)(bu)(bu)(bu)明軟件，謹慎安裝陌生人發送的(de)軟件；不(bu)(bu)(bu)(bu)要隨意將來歷(li)不(bu)(bu)(bu)(bu)明的(de)U盤、移動硬盤、閃存卡等移動存儲設備(bei)插(cha)入設備(bei)。

4.數據備份保護：防止數據丟失的(de)真(zhen)正保障永遠(yuan)是(shi)離線(xian)備(bei)(bei)份(fen)(fen)，因此，對關鍵(jian)數據和業務系(xi)統做備(bei)(bei)份(fen)(fen)十分必要(yao)。注(zhu)意(yi)，備(bei)(bei)份(fen)(fen)要(yao)清晰，標注(zhu)每個階段的(de)備(bei)(bei)份(fen)(fen)，確保在某個備(bei)(bei)份(fen)(fen)受到惡(e)意(yi)軟(ruan)件感染時能夠及(ji)時找回。

5.要常殺毒、關端口：安(an)裝殺(sha)毒軟件(jian)并定期更新病(bing)毒庫(ku)，定期全盤殺(sha)毒；關閉不(bu)(bu)必(bi)要(yao)(yao)的服務和(he)端口（包(bao)括不(bu)(bu)必(bi)要(yao)(yao)的遠程訪問服務3389端口、22端口和(he)不(bu)(bu)必(bi)要(yao)(yao)的 135、139、445等局域網(wang)共(gong)享端口等）。

6.加強員工安全意識：安(an)全生產最大的隱患在于人(ren)員(yuan)(yuan)(yuan)，釣(diao)魚、社工、投(tou)毒、弱(ruo)密(mi)碼等，這(zhe)些關(guan)鍵(jian)因素都與人(ren)員(yuan)(yuan)(yuan)的安(an)全意(yi)識(shi)息(xi)息(xi)相關(guan)，因此要做好整體的安(an)全加固和防(fang)御能力提升，就要切實提升人(ren)員(yuan)(yuan)(yuan)的安(an)全意(yi)識(shi)。

及(ji)時給辦公終端和服務器(qi)打(da)補丁：對操作系(xi)統以及(ji)第三方應用及(ji)時打(da)補丁，防止(zhi)攻擊者通(tong)過漏洞(dong)入侵系(xi)統。

（文章轉載自coinlive，原文鏈接：//www.coinlive.com/zh/news/slow-mist-the-mysterious-case-of-lockbit-the-world-s-largest）