慢霧:全球頭號勒索團伙 LockBit 謎案

慢霧科技
2024-02-22 21:33:22
收藏
2024 年 2 月 19 日,勒索團伙 LockBit 的網站在聯合執法行動中被查封。

撰文:23pds@SlowMist

團隊背景

2019 年 9 月,LockBit 勒索病毒首次正式亮相,其因使用後綴名 .abcd 來標記已加密的受害者文件,被稱為「ABCD」勒索軟體。早期版本 LockBit 1.0 非常不成熟,作案過程中加密軟體不僅使用固定的互斥鎖,甚至會殘留一些易被殺毒軟體、沙箱等安全軟體識別和攔截的 debug 函數。

隨著組織規模不斷發展,LockBit 1.0 開始採用 RaaS(Ransomware-as-a-service 勒索軟體及服務) 模式運營,即開發並分發勒索軟體工具供其他惡意行為者使用,並在一個著名的俄語論壇 XSS 上為其合作計劃進行推廣。

八個月後,LockBit 1.0 勒索軟體運營商又升級了勒索策略,創建了一個用於公開受害者數據的站點,配合文件加密,試圖進一步施壓受害者,以期達成「雙重勒索」的目的。

經過幾次小的升級後,相較於其他勒索軟體,LockBit 1.0 作案手段更為高超。針對 Windows 系統的加密過程採用 RSA + AES 算法加密文件,使用 IOCP 完成端口 + AES-NI 指令集提升工作效率,從而實現高性能加密流程,一旦成功加密文件,所有受害者的文件會被添加無法破解的 .abcd 擴展後綴。

LockBit 勒索軟體 1.0 時期,主要通過修改受害者系統桌面壁紙來顯示勒索信息,並留下名為 Restore-My-Files.txt 的勒索信,要求受害者登錄暗網,用比特幣或門羅幣繳納贖金。

後來這個團伙因多起引人注目的攻擊而成名。例如,在 2022 年 6 月,他們推出了 LockBit 3.0 版本,並包含了一個漏洞賞金計劃,邀請安全研究人員測試並改進他們的軟體。為發現系統漏洞提供獎勵,這在勒索軟體中是一個獨特的做法。

自開始運作以來,LockBit 在網絡安全方面產生了顯著影響,其攻擊通常導致受害方的敏感數據被盜和財務損失。

「輝煌」歷史

在 2022 年 5 月份之前,LockBit 幾乎是一騎絕塵,在全球範圍內打穿超過 850 家企業機構的防禦系統,占同時間段內所有勒索軟體相關攻擊事件的 46%。

RaaS 代理模式:

攻擊方式:

據網絡安全公司 Dragos 的數據,2022 年第二季度針對工業系統的勒索軟體攻擊中,約有三分之一是由 LockBit 發起的,對工控領域內不少大型企業造成了巨大的打擊。而 Deep Instinct 發布的報告指出,在 2022 上半年,LockBit 發起的勒索攻擊約占總攻擊數的 44%。

短短三年,LockBit 勒索軟體團伙的受害者數量已高達一千多個,是老牌勒索軟體組織 Conti 的 2 倍,更是 Revil 的 5 倍有餘。

值得一提的是,LockBit 勒索組織的贖金獲得率也在諸多老牌勒索組織之上。就 2022 年的數據來看,其提出的 1 億美元的贖金需求中,勒索成功率超過一半,令無數企業聞風喪膽。

現狀

鑑於此,該團伙引起了全球執法機構的關注。2022 年 11 月,美國司法部 (DoJ) 指控擁有俄羅斯和加拿大雙重國籍的米哈伊爾·瓦西里耶夫 (Mikhail Vasiliev) 涉嫌參與 LockBit 勒索軟體行動。該男子目前在加拿大被拘留,正在等待引渡到美國。

5 月,俄羅斯國民 Mikhail Pavlovich Matveev(30 歲),又名 Wazawaka、m1x、Boriselcin 和 Uhodiransomwar,被美國司法部指控參與了多次勒索軟體攻擊。

美國司法部公布了兩份起訴書,指控該男子使用三種不同的勒索軟體對美國各地眾多受害者進行攻擊,包括華盛頓特區和新澤西州的執法機構,以及全國醫療保健和其他部門的組織:

2020 年 6 月 25 日前後,Matveev 和其 LockBit 同謀攻擊了新澤西州帕塞克縣的一家執法機構;

2021 年 4 月 26 日,Matveev 和其 Babuk 同謀攻擊了華盛頓特區的大都會警察局;

2022 年 5 月 27 日前後,Matveev 和其 Hive 同謀攻擊了新澤西州的一家非營利性行為保健組織。

2024 年 2 月 19 日,臭名昭著的勒索團伙 LockBit 網站在英國國家犯罪局、美國聯邦調查局、歐洲刑警組織和國際警察機構聯盟的聯合執法行動中被查封:

treasury.gov 公布相關的制裁信息涉及人員信息、 BTC 和 ETH 地址等:

我們使用 MistTrack 看下被制裁的 ETH 地址 (0xf3701f445b6bdafedbca97d1e477357839e4120d) 的資金情況:

分析發現,該 ETH 地址上的資金已被洗完。

接著,我們分析被制裁的 BTC 地址的情況,發現這幾個地址中最早的交易可追溯到 2019 年 10 月,最近的交易可追溯到 2023 年 3 月,且各地址上的相關資金均已被轉移。

其中,接收金額最大的地址為 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5,該地址為 LockBit 相關公司 Artur Sungatov 的地址,被 MistTrack 標記為 Binance Deposit 地址,且資金已被轉移。

其次,地址 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM 接收金額 52.7892 BTC,該地址為 LockBit 相關公司 Ivan Kondratyev 的地址,被 MistTrack 標記為 Kucoin Deposit 地址,且該地址收到了另一個被制裁地址 bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 轉入的 0.4323 BTC。

美國政府聯合英國和歐洲刑警組織公布了有關 LockBit 勒索軟體組織的更多信息,他們還透露 LockBit 擁有 193 家分支機構:

被抓謎團

據英國國家犯罪局發言人稱,LockBit 的服務已經中斷,這是一項持續且發展中的行動。此次行動是執法機構與勒索團伙之間多年鬥爭的最新舉措,對 LockBit 的近期跨國勒索運營造成有力打擊,也對日益猖獗的勒索攻擊形成有效威懾。

我們查看 LockBit 的節點,每個已知的 LockBit 勒索軟體組織網站要麼離線,要麼顯示被 EUROPOL 查封的頁面。執法部門已查封或拆除了至少 22 個 Tor 站點,這被稱為「克羅諾斯行動」。

在這之後,LockBit 勒索軟體集團管理人員向媒體確認他們的網站已被查封:

但是,似乎這次查封並沒有影響到 LockBit 核心人員,隨後 LockBit 勒索軟體組織向 Tox 上的個人發布了一條消息:「FBI 搞砸了使用 PHP 的伺服器,沒有 PHP 的備用伺服器沒有受到影響。」

今天劇情發生了反轉,LockBit 領導層聲明:我們就執法部門宣布將於 2024 年 2 月 23 日星期五公布 LockBit 領導層的事宜與 LockBit 勒索軟體組織的管理人員進行了交談。

LockBit 回覆道:「讓他們透露吧,我确信他們不知道我的身份。」進而,LockBit 勒索軟體組將名字改為「FBI Supp」,用來嘲諷執法機構:

據 @vxunderground 消息,現在看來最終的主謀似乎並沒有被抓獲,甚至 LockBit 公開懸賞更大的金額來讓大眾尋找自己。

到這裡故事越來越精彩,執法機構聲稱未來幾天會發布更多 LockBit 組織信息。

後事如何?我們拭目以待。

總結

這次打擊行動是對勒索軟體團伙的一系列執法舉措中最新的一環。去年底,美國聯邦調查局和其他機構已經成功摧毀了 Qakbot、Ragnar Locker 等多個勒索軟體團伙的網絡和基礎設施。

在最近的慕尼黑網絡安全會議上,美國司法部副部長強調了美國對抗勒索軟體和網絡犯罪的決心,提出將採用更快速、主動的策略,以預防和破壞這些犯罪活動為重點。

隨著數字技術的發展,依賴加密貨幣的網絡犯罪已經成為全球性的重大挑戰。勒索軟體等網絡犯罪不僅給個人和企業帶來損失,而且對整個社會構成了嚴重風險。據統計,去年網絡犯罪分子向全球的受害者勒索超過 11 億美元。

此外,勒索軟體治理是網絡攻擊者和安全人員雙方的較量,需要耐心、策略、時機。

以 LockBit 勒索軟體為例,其持續迭代更新每一個版本的攻擊方式、策略、入侵點等,這使得安全人員很難形成完備的修復體系。因此,在勒索軟體治理過程中,預防遠遠比修復更重要,要採取系統化、綜合施策、系統治理、多方聯合的方式,形成預防勒索軟體的圍牆,強烈建議大家做好以下防護措施:

盡可能使用複雜密碼: 企業內部在設置伺服器或者內部系統密碼時,應採用複雜的登錄憑證,例如必須包括數字、大寫字母、小寫字母、特殊符號,且長度至少為 8 位的密碼,並定期更換口令。

雙重驗證: 對於企業內部敏感信息,需要基於密碼的登錄基礎上,增加其他層防禦以阻止黑客攻擊,例如在部分敏感系統上安裝指紋、虹膜等生物識別驗證或使用物理 USB 密鑰身份驗證器等措施。

四不要: 不要點擊來源不明郵件;不要瀏覽色情、賭博等不良信息網站;不要安裝來源不明軟體,謹慎安裝陌生人發送的軟體;不要隨意將來歷不明的 U 盤、移動硬碟、閃存卡等移動存儲設備插入設備。

數據備份保護: 防止數據丟失的真正保障永遠是離線備份,因此,對關鍵數據和業務系統做備份十分必要。注意,備份要清晰,標註每個階段的備份,確保在某個備份受到惡意軟體感染時能夠及時找回。

要常殺毒、關端口: 安裝殺毒軟體並定期更新病毒庫,定期全盤殺毒;關閉不必要的服務和端口(包括不必要的遠程訪問服務 3389 端口、22 端口和不必要的 135、139、445 等局域網共享端口等)。

加強員工安全意識: 安全生產最大的隱患在於人員,釣魚、社工、投毒、弱密碼等,這些關鍵因素都與人員的安全意識息息相關,因此要做好整體的安全加固和防禦能力提升,就要切實提升人員的安全意識。

及時給辦公終端和伺服器打補丁: 對操作系統以及第三方應用及時打補丁,防止攻擊者通過漏洞入侵系統。

致謝 WuBlockchain、@vxunderground、希潭實驗室、雲鼎實驗室

鏈捕手ChainCatcher提醒,請廣大讀者理性看待區塊鏈,切實提高風險意識,警惕各類虛擬代幣發行與炒作,站內所有內容僅係市場信息或相關方觀點,不構成任何形式投資建議。如發現站內內容含敏感信息,可點擊“舉報”,我們會及時處理。
ChainCatcher 與創新者共建Web3世界