LockBit 引领勒索软件进入下个时代

LockBit引领勒索软件进入下个时代 7 Copyright©2014-2024QingtengAllrightsreserved.1 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.22022年，LockBit是世界上部署最多的勒索软件变体，并在2023年继续扩大规模。自勒索软件运营是一种勒索软件即服务（RaaS）模式，招募联盟机构使用工具对基础设施进行勒索软件攻击。由于行动中有大量未联网的联盟机构，LockBit勒索软异对致力于维护网络安全和防范勒索软件威胁的组织量，LockBit,ALPHV/BlackCat,andBlackBasta这三家是最流行的勒索软件勒索组织，其2.Lockbit商业模式果付费的网络营销方式。商家通过联盟营销渠道产生了一定收益后，才需要向联盟营销机构及其联盟会员支付佣金。由于是无收益无支出、有收益才有支出的量化营销，因此联盟营销LockBit联盟公司对世界各地的大大小小的组织都产生了负面影响。2022年，就数 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.3出售对该勒索软件变种的访问权限，并支持联盟公司部署其勒索软件，以换取预付款、订阅费、利润分成，或预付款、订购费和利润分成的组合。LockBit成功吸引联盟公司的一些方l通过允许联盟公司在向核心集团收到赎金之后来确保付款；这l参与宣传活动的噱头，例如付钱给人们做LockBit纹身，并悬赏100万美元获取与LockBit这种营销模式让市场营销人员直呼内行，也宣称是全球唯一一个不经手加盟租损失，例如DarkSide项目。LockBit对其勒索软件攻击活动的定义是：“后付费的渗透测试3.LockBit技术思路 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.4LockBit更新表LockBit的分支机构采用了双重勒索，首先加密受害者数据，然后窃取这些数据，同时威胁要将被盗数据发布到泄露网站。由于LockBit只披露拒绝支付主要赎金解密其数据的受害者的姓名和泄露的数据，因此一些LockBit受害者可能永远不会被点名，也不会将其经过滤的数据发布在泄露网站上。因此，泄漏网站揭示了LockBit联盟公司的一部分受害者。由些原因，泄漏网站不是LockBit勒索软件攻击发生时间的可靠指标。泄露网站上的数据发布 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.5此外，LockBit已经扩大了其漏洞奖励计划，不仅仅是为发现的漏洞付费，现在还创造性的为增强其勒索软件运营的方法提供奖励。他们甚至为任何能够识别L LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.6在入侵期间为了掩人耳目，LockBit联盟公司被发现使用各种看起来第合法使用的免费如网络侦察、远程访问和隧道、凭证转储和文件泄露。在大多数入侵中都观察到使用PowerShell和批处理脚本，这些入侵主要集中在系统发现、侦察、密码/凭据搜索和权限升级。专业渗透测试工具（例如Metasploit和CobaltStrike）也已被观察到。提到的合法免费软件和开源工具都是公开可用且合法的。威胁行为者对这些工具的使用不应归因于免费软件和开源工具，因为缺乏具体的事实可表明这些工具是在威胁行为者的指导下或在威胁行资源。联盟公司一般使用比较老旧的漏洞，也 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.73.6供应链攻击引发“二次爆炸”变种后尝试进行二次勒索软件勒索。一旦主要目标被击中，LockBit联盟公司就会尝试勒索主要目标客户的公司。这种勒索以二级勒索软件的形式出现，它会锁定客户使用的服务。此我们需要对以下假设进行更多研究：一些勒索软件团体之所以更成功，是因为加盟机构 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.84.LockBit死灰复燃和其他几个国家的执法组织。执法机构在三个国家查获了28台服务器，并控制了LockBit的泄密网站和该组织的管理门户。波兰和乌克兰的两名嫌疑人LockBit管理员将此次取缔归咎于联邦调查局，并表示联邦调查局决定对该团伙进行黑对特朗普和几名共同被告提出刑事指控，罪名是涉嫌试图颠覆20一周之后LockBit回来了，并提供了有关漏洞的详细信息以及他们将如何运营业务以使他们的基础设施更难以被黑客攻击。攻击发生后，该团伙立即确认了此次泄露，称他们只丢护的解密器”获得了密钥，服务器上有近20,000个解密器，大约是整个操作过程中生成的约40,000个解密器的一半。威胁行为者将“未受保护的解密器”定义为未启用“最大解密保护”功能的文件加密恶意软件的构建，通常由低级别加盟机构使用，这些加盟机构仅收取同时LockBit勒索软件开发人员正在秘密构建新版本的文件加密恶意软件，称为LockBit-NG-Dev，很可能成为LockBit4.0，甚至在执法部门摧毁了该网络犯罪分子的基础 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.9似乎是使用CoreRT编译的，并使新的LockBit加密器的发现是执法部门通过克罗诺斯行动对LockBit运营商造成的又一次打击。即使备份服务器仍然由该团伙控制，当安全研究人员已知加密恶意软件的源代码5.未来的勒索软件的趋势根据上述对LockBit的各方面分析，可以看出勒索软件会进入下个时代，但是下个勒索软件时代是否属于LockBit未可知，但是继续进化是一定的。以下几个方面是勒索软件进化传统上，针对企业的勒索软件组织通常会针对正常运行时间至关重要的业务，即因加密文件或停止生产而损失一小时的费用也可能会造成高昂的代价。但一些敌对组织在没有部署有效负载的情况下，仅通过数据泄露的勒索就取得了成功。如今，窃取或加密数据以勒索受害者已成为勒索软件组织的常态。但被盗数据不仅对其所有者有价值，这些数据在竞争对手眼里也非常有价值。一台受感染的机器可以为对手提供大量公司机密和敏感文件，准备出售给最高出价者。这样的方式不仅可以减少对业务的直接伤害而且商客户的Kaseya攻击以及SolarWiAI加成下的勒索软件开发和攻击方式勒索软件组织预计将更多地利用人工智能（AI）功能——包括聊天机器人、人工智能开发的恶意软件代码、机器学习算法、自动化流程，以及更多——这将使他们能够开发出更复杂的产品高效的技术，让传统的方法变得更加困难检测和防止此类攻击的网络安全措施。人工智能也可能将开发勒索软件的门槛降低并 LockBit引领勒索软件进入下个时代Copyright©2014-2024QingtengAllrightsreserved.10攻击者知道受保受害者更有可能支付赎金，因为他们可以信赖保险来支付费用。这一目随着越来越多的组织迁移到云端，端点漏洞的情况也随之发生变化。网络安全团队已经适应了云的去中心化性质，但错误配置和未修补的漏洞仍然是勒索软件组织寻求立足点的主要目标。谷歌网络安全行动团队的一项研究发现，86%的受感染云实例用于挖除了windows系统之外，勒索软件已经支常见的平台实际上可能会给您的组织带来最大的风险，因为勒索软件组织在没有备份的情况下更关注关键业务设备的价值。攻击人员也