该警报是通过联邦调查局、CISA和多州信息共享与分析中心(MS-ISAC)发出的。
当局说,LockBit 3.0勒索软件的操作功能是一种勒索软件即服务(RaaS)模式,是以前的勒索软件LockBit 2.0和LockBit的延续。自2019年LockBit勒索软件出现以来,威胁行为者为了更精细地开发增强其恶意软件,投资使用了新的技术辅助手段,发布了两个重要的更新,在2021年中期推出LockBit 2.0,以及在2022年6月发布LockBit 3.0。这两个版本也分别被称为LockBit Red和LockBit Black。
根据该警报,LockBit 3.0可以接受额外的参数,用于横向移动和重启到安全模式。如果LockBit攻击者没有使用无密码的LockBit 3.0赎金软件,那么在执行勒索软件的过程中,密码参数是必须要使用的。
并且,该勒索软件被制成了只会感染那些特定语言偏好以及和特征列表中相符合的计算机,其中包括鞑靼语、阿拉伯语和罗马尼亚语(这些语言都在叙利亚、摩尔多瓦和俄罗斯)。受害者的网络是通过远程协议(RDP)的利用、网络钓鱼活动、有效账户的利用以及面向公众的应用程序的漏洞利用工具而被非法访问。
在使用加密程序之前,该恶意软件首先会试图进行权限维持,增加权限,进行横向移动,并清除日志文件、Windows回收站文件夹中的文件和系统备份。
安全专家说,目前我们已经观察到LockBit附属机构在入侵过程中使用了各种免费软件和开源工具,这些工具被用于一系列的攻击活动,如网络侦察、远程访问和隧道、凭证转储和文件渗出。
此次攻击的主要特征之一是使用了大量的定制的渗出工具,这些工具被称为StealBit,由LockBit集团授权给其附属机构。
根据美国司法部11月的一份报告,LockBit勒索软件已经在全球范围内对至少1000名受害者进行攻击,为该组织获得了超过1亿美元的非法收入。
一家名为Dragons的工业网络安全公司今年早些时候报告说,在2022年第四季度检测到的针对关键基础设施的189次勒索软件攻击中,有21%是由LockBit勒索软件造成的,这类事件有40起。事实上,大多数食品和饮料以及制造业都因这些攻击而受到了影响。
在最近的报告中,联邦调查局的互联网犯罪投诉中心(IC3)将LockBit(149)、BlackCat(114)和Hive(87)列为2022年针对基础设施部门的三大勒索软件变体。
尽管LockBit的攻击活动非常多,但在2022年9月底,这个勒索软件团伙遭到了严重挫折,当时LockBit的一名开发者泄露了LockBit 3.0的工程代码,引发了人们对其他犯罪分子会利用这些代码并产生他们自己的变种的担忧。
这些信息是在杀毒软件公司Avast于2023年1月提供免费解密器后的几个月发布的,此时BianLian勒索软件组织已将其攻击重点从加密受害者的文件转到直接进行数据盗窃并对系统进行勒索。
这在以前有过类似的经历,卡巴斯基目前已经发布了一个免费的解密器,帮助那些数据被基于康蒂源代码的勒索软件变体加密的受害者。
英特尔去年指出,鉴于LockBit 3.0和Conti勒索软件变体的复杂性,人们很容易忘记这些攻击的背后,还有犯罪集团在经营。而且,与其他的合法组织一样,只要有一个人泄密,就可以破坏一个复杂的攻击行动。
参考及来源:https://www.cysecurity.news/2023/03/lockbit-30-ransomware-inside-million.html