美国政府发布LockBit 3.0勒索软件威胁报告

美国政府机构发布了一份联合网络安全咨询,详细介绍了与臭名昭著的LockBit 3.0勒索软件相关的IoC指标以及策略、技术和程序 (TTP) 。
美国政府表示:“LockBit 3.0勒索软件的运作类似于勒索软件即服务(RaaS)模型,是勒索软件、LockBit 2.0和 LockBit先前版本的延续。”
该警报由美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及多州信息共享与分析中心(MS-ISAC)提供。
自2019年底出现以来,LockBit攻击者投入了大量技术来开发和微调其恶意软件,发布了两个主要更新——2021 年年中发布的LockBit 2.0和2022年6月发布的LockBit 3.0。这两个版本是也分别称为LockBit Red和LockBit Black。
“LockBit 3.0接受横向移动和重新启动到安全模式的特定操作的额外参数,”根据警报。“如果LockBit分支机构无法访问无密码LockBit 3.0勒索软件,则在执行勒索软件期间必须提供密码参数。”
该勒索软件还旨在仅感染那些语言设置与排除列表中指定的语言设置不重叠的机器,其中包括罗马尼亚语(摩尔多瓦)、阿拉伯语(叙利亚)和鞑靼语(俄罗斯)。
对受害网络的初始访问是通过远程桌面协议(RDP)利用、drive-bycompromise、网络钓鱼活动、滥用有效帐户以及将面向公众的应用程序武器化来获得的。
在找到成功的入口点后,恶意软件会采取措施建立持久性、提升权限、执行横向移动并清除日志文件、Windows 回收站文件夹中的文件和卷影副本,然后再启动加密例程。
“LockBit分支机构在入侵期间被观察到使用各种免费软件和开源工具,”这些机构说。“这些工具用于一系列活动,例如网络侦察、远程访问和隧道、凭证转储和文件泄露。”
攻击的一个定义特征是使用称为StealBit的自定义渗漏工具,LockBit组织向附属机构提供该工具用于双重勒索目的。
11 月,美国司法部报告称,LockBit勒索软件已被用于对付全球至少1,000名受害者,该行动的非法利润超过1亿美元。
工业网络安全公司Dragos今年早些时候透露,在2022年第四季度检测到的针对关键基础设施的189起勒索软件攻击中,LockBit 3.0占21%,占40起事件。其中大部分攻击都影响了食品和饮料以及制造业。
FBI 的互联网犯罪投诉中心(IC3)在其最新的互联网犯罪报告中将 LockBit(149)、BlackCat(114)和Hive(87)列为2022年危害关键基础设施的三大勒索软件变种。
尽管LockBit进行了多次攻击,但勒索软件团伙在2022年9月下旬遭受了巨大打击,当时心怀不满的LockBit开发人员发布了LockBit 3.0的构建器代码,引发了人们对其他犯罪分子可能利用这种情况并产生自己的变体的担忧。
在网络安全公司Avast于2023年1月发布免费解密器几个月后,变连勒索软件组织已将其重点从加密受害者的文件转移到纯粹的数据盗窃勒索攻。
在相关的开发中,卡巴斯基发布了一个免费的解密器,以帮助那些数据被基于Conti源代码的勒索软件版本锁定的受害者,该源代码在去年俄罗斯入侵乌克兰后泄露,导致核心成员之间发生内部摩擦。
“鉴于LockBit 3.0和Conti勒索软件变种的复杂性,很容易忘记人们正在经营这些犯罪企业,”英特尔471去年指出。“而且,与合法组织一样,只需要一个不满就可以解开或破坏一项复杂的行动。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5099.html