/ 中存储网

LockBit 勒索软件介绍及卡巴斯基查杀工具

2023-01-05 00:25:09 来源:卡巴斯基官网

LockBit 勒索软件是一种恶意软件,旨在阻止用户访问计算机系统以换取赎金。LockBit 将自动审查有价值的目标、传播感染并加密网络上所有可访问的计算机系统。该勒索软件用于针对企业和其他组织的高度针对性攻击。作为一种自我驾驶的网络攻击,LockBit 攻击者通过使用以下一些威胁威胁全球组织而取得了成功:

  • 运营中断,基本功能突然停止。
  • 勒索黑客的经济利益。
  • 如果受害人不遵守,则将数据盗窃和非法发布视为勒索。

LockBit 勒索软件介绍及卡巴斯基查杀工具

什么是 LockBit 勒索软件?

LockBit 是一系列勒索网络攻击中的一种新型勒索软件攻击。它以前称为“ABCD”勒索软件,现已发展成为这些勒索工具范围内的独特威胁。LockBit 是勒索软件的一个子类,被称为“加密病毒”,因为它围绕金融支付形成赎金请求以换取解密。它主要关注企业和政府组织,而不是个人。

使用LockBit 的攻击最初始于 2019 年 9 月,当时它被称为“.abcd 病毒”。这个绰号是指加密受害者文件时使用的文件扩展名。过去值得注意的目标包括美国、中国、印度、印度尼西亚和乌克兰的组织。此外,整个欧洲的多个国家(法国、英国、德国)都遭到了攻击。

可行的目标是那些会因为中断而感到受阻而支付大笔费用的目标——并且有足够的资金这样做。因此,这可能导致对从医疗保健到金融机构的大型企业的大规模攻击。在其自动审查过程中,它似乎也有意避免攻击俄罗斯或独立国家联合体内任何其他国家的本地系统。据推测,这是为了避免在这些地区受到起诉。

LockBit 用作勒索软件即服务 (RaaS)。愿意的各方为使用定制的出租攻击支付押金,并在附属框架下获利。赎金支付由 LockBit 开发团队和发起攻击的分支机构分摊,他们收到高达 3/4 的赎金资金。

LockBit 勒索软件如何运作?

许多当局认为LockBit勒索软件是“LockerGoga & MegaCortex”恶意软件家族的一部分。这仅仅意味着它与这些既定形式的目标勒索软件共享行为。作为快速解释,我们知道这些攻击是:

  • 在组织内自我传播,而不需要人工指导。
  • 有针对性,而不是像垃圾邮件恶意软件那样以分散的方式传播。
  • 使用类似的工具进行传播,例如 Windows Powershell 和服务器消息块 (SMB)。

最重要的是它的自我传播能力,这意味着它可以自行传播。在其编程中,LockBit 由预先设计的自动化流程指导。这使得它与许多其他勒索软件攻击不同,这些勒索软件攻击是由手动在网络中生存(有时长达数周)以完成侦察和监视所驱动的。

攻击者手动感染单个主机后,可以找到其他可访问的主机,将它们连接到被感染的主机,并使用脚本共享感染。这是完全在没有人为干预的情况下完成和重复的。

此外,它使用的工具模式几乎适用于所有 Windows 计算机系统。端点安全系统很难标记恶意活动。它还通过伪装成常见的.PNG图像文件格式来隐藏可执行加密文件,进一步欺骗系统防御。

LockBit 攻击的阶段

LockBit攻击大致可以理解为三个阶段:

  1. 开发
  2. 浸润
  3. 部署

阶段 1:利用网络中的弱点。最初的破坏看起来很像其他恶意攻击。组织可能会被网络钓鱼等社会工程策略所利用,在这种策略中,攻击者冒充受信任的人员或权威机构来请求访问凭证。同样可行的是对组织的内部网服务器和网络系统使用暴力攻击。如果没有适当的网络配置,攻击探测可能只需要几天时间即可完成。

一旦 LockBit 进入网络,勒索软件就会准备好系统,以在所有可能的设备上释放其加密负载。但是,攻击者可能必须确保完成一些额外的步骤才能进行最后的操作。

第 2 阶段:如果需要,更深入地渗透以完成攻击设置。从这一点开始,LockBit 程序独立指导所有活动。它被编程为使用所谓的“开发后”工具来获得升级权限以达到攻击就绪的访问级别。它还通过横向移动已经可用的访问来审查目标可行性。

正是在这个阶段,LockBit 将在部署勒索软件的加密部分之前采取任何准备行动。这包括禁用安全程序和任何其他可能允许系统恢复的基础设施。

渗透的目标是使独立恢复变得不可能,或者恢复速度足够慢以至于屈服于攻击者的赎金是唯一可行的解??决方案。当受害者急于让运营恢复正常时,这就是他们支付赎金的时候。

第 3 阶段:部署加密负载。一旦网络准备好让 LockBit 完全动员起来,勒索软件就会开始在它可以接触到的任何机器上传播。如前所述,LockBit 不需要太多来完成这个阶段。具有高访问权限的单个系统单元可以向其他网络单元发出命令以下载 LockBit 并运行它。

加密部分将“锁定”所有系统文件。受害者只能通过 LockBit 的专有解密工具创建的自定义密钥来解锁他们的系统。该过程还会在每个系统文件夹中留下一个简单的赎金票据文本文件的副本。它向受害者提供恢复系统的说明,甚至在某些 LockBit 版本中包含威胁勒索。

完成所有阶段后,接下来的步骤就留给了受害者。他们可能会决定联系 LockBit 的支持台并支付赎金。但是,不建议遵循他们的要求。受害者无法保证攻击者会遵守他们的协议。

LockBit 威胁的类型

作为最新的勒索软件攻击,LockBit 威胁可能是一个重大问题。我们不能排除它可以在许多行业和组织中占据一席之地的可能性,尤其是随着最近远程工作的增加。发现 LockBit 的变体有助于准确识别您正在处理的内容。

变体 1 —。abcd 扩展名

LockBit 的原始版本使用“.abcd”扩展名重命名文件。此外,它还在“Restore-My-Files.txt”文件中包含一张赎金票据,其中包含对涉嫌恢复的要求和说明,该文件已插入到每个文件夹中。

变体 2 —。LockBit 扩展

该勒索软件的第二个已知版本采用了“.LockBit”文件扩展名,并为其赋予了当前的绰号。然而,受害者会发现尽管进行了一些后端修改,但该版本的其他特征看起来几乎相同。

变体 3 —。LockBit 版本 2

下一个可识别版本的 LockBit 不再需要在其赎金说明中下载 Tor 浏览器。相反,它通过传统的互联网访问将受害者发送到另一个网站。

对 LockBit 的持续更新和修订

最近,LockBit 得到了增强,增加了更多邪恶的功能,例如否定管理权限检查点。LockBit 现在禁用当应用程序尝试以管理员身份运行时用户可能会看到的安全提示。

此外,该恶意软件现在被设置为窃取服务器数据的副本,并在赎金票据中包含额外的勒索行。如果受害者不遵守指示,LockBit 现在会威胁公开发布受害者的私人数据。

LockBit 删除和解密

由于 LockBit 可能造成的所有麻烦,端点设备需要在整个组织中采用全面的保护标准。第一步是拥有全面的端点安全解决方案,例如Kaspersky Integrated Endpoint Security。

如果您的组织已经被感染,仅删除 LockBit 勒索软件并不能让您访问您的文件。您仍然需要一个工具来恢复您的系统,因为加密需要“钥匙”来解锁。或者,如果您已经创建了感染前的备份映像,则可以通过重新映像来恢复系统。

如何防范 LockBit 勒索软件

最终,您必须设置保护措施,以确保您的组织能够抵御任何来自偏移量的勒索软件或恶意攻击。以下是一些可以帮助您做好准备的做法:

  1. 应实施强密码。许多帐户泄露的发生是由于密码很容易被猜到,或者密码足够简单,算法工具可以在几天的探测后发现。男性确保您选择安全的密码,例如选择较长的具有字符变化的密码,并使用自创规则来制作密码。
  2. 激活多重身份验证。通过在基于密码的初始登录之上添加层来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理 USB 密钥验证器等措施。
  3. 重新评估和简化用户帐户权限。将权限限制在更严格的级别,以限制潜在威胁不受阻碍地通过。特别注意端点用户和具有管理员级别权限的 IT 帐户访问的那些。Web 域、协作平台、Web 会议服务和企业数据库都应该受到保护。
  4. 清理过时和未使用的用户帐户。一些较旧的系统可能有过去员工的帐户,这些帐户从未停用和关闭过。完成对系统的检查应包括消除这些潜在的弱点。
  5. 确保系统配置遵循所有安全程序。这可能需要时间,但重新审视现有设置可能会发现新问题和过时的政策,从而使您的组织面临遭受攻击的风险。必须定期重新评估标准操作程序,以应对新的网络威胁。
  6. 始终准备好系统范围的备份和干净的本地机器映像。事故时有发生,防止数据永久丢失的唯一真正保障是离线副本。您的组织应该定期创建备份,以便及时了解系统的任何重要更改。如果备份受到恶意软件感染,请考虑使用多个轮换备份点来选择清理时间段。
  7. 一定要有一个全面的企业网络安全解决方案。虽然 LockBit 可以尝试在一个单元中禁用一次保护,但企业网络安全保护软件可以帮助您通过实时保护捕获整个组织的文件下载。了解有关卡巴斯基企业安全解决方案的更多信息,以帮助您保护您的业务和设备。