科学研究工作员表明,LockBit敲诈勒索软件即服务(RaaS)犯罪团伙增加了目的性攻击幅度,尝试应用其恶意软件的2.0版对于多米尼加、西班牙、中国台湾和澳大利亚的企业。
依据趋势科技周一公布的剖析,7月和8月的攻击应用了LockBit 2.0,其优点是提高了加密方法。
据报道:“与LockBit在2019年的攻击和作用对比,该版本号包含根据乱用Active Directory(AD)组策略跨Windows域全自动数据加密机器设备,促进其后面的机构宣称它是现如今市面上更快的勒索病毒变异之一。”“LockBit 2.0以有着现如今勒索病毒危害自然环境中更快、最有效的加密方法之一而得名。大家的分析表明,尽管它在数据加密中采用了线程同步方式,但它也只对资料开展了一部分数据加密,由于每一个文档只数据加密了4KB的数据信息。”
趋势科技强调,这种攻击还包含从总体目标企业內部征募内部员工。恶意软件感柒程序流程的最后一步是将受害人的桌面壁纸更改成合理的广告宣传,主要包括相关机构内部员工怎样参加“附设征募”的一部分信息内容,并确保付款数百万美元和服务承诺密名,以获得凭证和访问限制。
科学研究工作员表明,新一波攻击已经选用这些对策,“好像是因为清除(别的危害个人行为者人群的)中介人,并利用给予合理凭证和浏览局域网络来完成快速的攻击”。
特别注意的是,LockBit也是近期埃森哲互联网攻击事情后面的元凶。
LockBit 2.0感柒程序流程
为了更好地对总体目标局域网络开展原始浏览,LockBit犯罪团伙征募了以上组员和小助手,她们通常根据高效的远程桌面连接协议书(RDP)账号凭证对方向开展具体侵入。为了更好地协助完成这一总体目标,LockBit的创始人为她们的合作方带来了一个方便快捷的StealBit特洛伊木马变异,这也是一种用以创建访问限制和全自动泄漏数据信息的专用工具。
该汇报强调,一旦进到系统软件,LockBit 2.0便会应用一整套专用工具来开展侦察。Network Scanner会评定网络架构并鉴别总体目标域控制器。它应用好几个批处理文件进而做到不一样目地,主要包括停止安全工具、开启RDP联接、消除Windows事情日志及其保证重要过程(例如Microsoft Exchange、MySQL和QuickBooks)不能用。它还会继续终止Microsoft Exchange并禁止使用别的相关服务。
但这还并不是所有:“LockBit 2.0还乱用Process Hacker和PC Hunter等合理合法专用工具来停止被害系统软件中的进度和服务项目。”
在第一阶段完毕以后,就逐渐开展横着健身运动了。
趋势科技科学研究工作人员表述说:“一旦进到域控制器,勒索病毒便会建立新的组策略并将这些发送至互联网上的每台机器设备。”“这种对策禁止使用Windows Defender,并将勒索病毒二进制文件派发和实行到每台Windows电子计算机。”
这一关键的勒索病毒控制模块再次向每一个加密文件加上“.lockbit”后缀名。随后,它会在每一个数据加密文件目录里放一张保释金便笺,危害双向敲诈勒索。便笺一般会提醒受害人,文档被数据加密了,假如它们不支付,就把她们公布发布。
LockBit 2.0的最后一步是将受害人的电脑桌面壁纸更改成以上招聘启示,在其中还包含相关受害人怎样付款巨款的表明。
LockBit的不断演变
趋势科技一直在追踪LockBit,并指明其营运商最开始与上年10月关掉的Maze勒索病毒机构协作。
Maze是双向敲诈勒索对策的先行者,于2019年11月初次发生。它进行了连续不停的攻击主题活动,例如对Cognizant的攻击。2020年夏季,它创立了一个网络诈骗“卡特尔”——与各种各样勒索病毒(包含Egregor)联合,并共享资源编码、念头和資源。
科学研究工作人员表述说:“在Maze关掉后,LockBit犯罪团伙再次应用自身的泄露网站,这致使了LockBit的发展趋势。”“之前的版本号表明了已经有的勒索病毒的特点,它采用了加密文件、盗取数据信息与在未付款保释金时泄漏失窃数据信息的双向敲诈勒索技术性。”
如今的LockBit 2.0好像是遭到了Ryuk和Egregor的危害,这可能是因为共享资源编码DNA。趋势科技强调的两种明显的事例是:
- 受Ryuk勒索病毒启迪的LAN唤起作用,推送Magic Packet“0xFF 0xFF 0xFF 0xFF 0xFF 0xFF”以唤起无网机器设备。
- 在受害人的共享打印机上打印出敲诈勒索信,类似Egregor应用的造成受害人专注力的方法。它应用Winspool API在接入的复印机上枚举类型和打印出文本文档。
趋势科技科学研究工作人员汇总道:“大家……推断这一团队将在相当长一段时间内持续保持活跃性情况,尤其是由于如今它已经普遍征募组员和机构内部员工,使其更有工作能力感柒很多企业和领域。”“与此同时,为LockBit 2.0的提升和进一步开发设计做好充分的准备也是最好的,尤其是如今很多公司都了解了它的作用以及原理。”
怎样保护组织免遭勒索病毒的损害
下列是网络安全核心和英国国家行业标准与技术性研究室强烈推荐防止LockBit 2.0和别的恶意软件感柒的最好作法:
- 财务审计和盘点:对结构的全部资金和信息开展财务审计,鉴别出通过受权和没经认证的机器设备、手机软件及其仅特殊工作人员可浏览的系统软件。财务审计和监管全部大事件和紧急状况的日志,进而鉴别一场方式或个人行为。
- 配备和监控:留意管理方法硬件配置和手机软件配备,仅在肯定必需时为特殊工作人员授于管理员权限和访问限制。监管监控网络端口、协议书和服務的应用。在互联网基础设施建设机器设备(如服务器防火墙和无线路由器)上执行安全性配备,并具备手机软件容许目录以避免故意应用软件强制执行。
- 修复程序流程和升级:按时开展系统漏洞评定,并对电脑操作系统和程序开展按时修复或虚似修复。保证全部已安裝的手机软件和应用软件早已升级到其最新版。
- 维护和修复:执行个人信息保护、备份与恢复对策。在全部可以用的机器设备和网站中应用多要素身份认证。
- 安保:实行沙盒游戏剖析以定期检查阻拦故意电子邮箱。将最新版的可靠解决方法运用于系统软件的全部层,包含电子邮箱、节点、web和互联网。发觉攻击的初期征兆,如系统软件中存有异常专用工具,并开启优秀的无损检测技术,如选用人工智能技术和机器学习算法的技术性。
- 学习培训和检测:按时对任何相关人员开展安全性专业技能评定和学习培训,并开展red-team演练和网站渗透测试。
文中翻譯自:https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/倘若转截,请标明全文详细地址。