行业新闻
黑客世界的“狂飙”,起底网络犯罪集团 LockBit
- 2023年3月8日
- 作者: 安鸾网络
- 分类目录 新闻资讯
“在京海,天上掉下个钢镚都得姓高。”在热播电视剧《狂飙》中,高启强的弟弟高启盛在KTV里无比猖狂的说着这句话。
黑客世界里也有“狂飙”,在网络空间之中,有一个犯罪集团堪比高启强犯罪团伙,依靠手中异常犀利的攻击加密技术,黑了无数大型跨国集团、政府机构、事业组织等,一年发布的勒索赎金金额上亿美元,更是嚣张地在暗网公布了所有的被勒索名单,这些受害机构一旦遭到攻击,轻则造成业务系统瘫痪,蒙受经济损失,重则导致社会性服务的停止,影响城市甚至国家正常运行。
由此可见,其猖狂程度和高启盛有的一拼。而当我们细细发掘该犯罪集团的“狂飙之路”,却又发现其发家历程和强盛集团十分相似。
它就是“LockBit”,一个臭名昭著的勒索组织。
如同“狂飙”里,强盛集团一路过关斩将,把京海市诸多老牌黑恶势力团队打落马下,掌控着当地的地下市场一样,LockBit勒索组织经过三次迭代,快速超越各大老牌勒索组织,最终在2022年登上了LockBit勒索软件领域的NO.1。
他们都是从默默无闻开始,却一路狂奔,短时间内声名鹊起,成为了行业领头羊。今天,咱们来聊聊LockBit勒索组织的那些事。
一、处于NO.1地位的LockBit的勒索组织
2022年,在全球数字化转型的大浪潮下,全球网络形势愈发严峻,其中尤其以勒索攻击最令人头疼,轻则影响公司业务正常运转,重则数据被加密,索要巨额赎金。
好在在全球各国/地区不遗余力的打击之下,2022年勒索攻击整体呈现下降趋势。根据 Google 子公司 Mandiant 的报告,勒索攻击在2022年似乎遭遇了“挫折”:Mandiant 响应的勒索软件事件减少了 15%。而勒索软件组织索要的赎金平均金额下降了 28%,从一年前的 570 万美元减少到 410 万美元。
另一家安全公司 CrowdStrike 认为,原因包括勒索软件组织的成员遭到逮捕,比特币等加密货币的币值下降等。根据 Chainalysis 的分析,2022 年勒索软件组织的总收入从 2021 年的 7.656 亿美元下降到 2022 年的大约 4.568 亿美元,下降了 40.3%。受害者支付赎金的概率也在下降。
就在勒索攻击行业面临整体下行的趋势下,LockBit却呈现出逆势大幅增长的趋势。就像狂飙里高启强的经典台词:我会怕风浪吗?风浪越大,鱼越贵!LockBit也是如此,在2022年面临巨大的打击力度下,它却反而活的更加滋润。
网络安全公司 Malwarebytes 公布的最新报告显示,在 Windows 平台上 2022 年影响最大的勒索软件是 LockBit,它占勒索软件即服务(RaaS)攻击的三分之一。
另一份报告数据显示,在2022年5月份之前,LockBit几乎是一骑绝尘,在全球范围内打穿超过 850 多家企业机构的防御系统,占同时间段内所有勒索软件相关攻击事件的 46%。
据网络安全公司 Dragos 的数据,2022年第二季度针对工业系统的勒索软件攻击中,约有三分之一是由 LockBit发起的,对工控领域内不少大型企业造成了巨大的打击。而Deep Instinct发布的报告指出,在2022上半年,LockBit发起的勒索攻击约占总攻击数的44%。
短短三年,LockBit勒索软件团伙的受害者数量已高达一千多个,是老牌勒索软件组织 Conti 的 2 倍,更是 Revil 的 5 倍有余。
值得一提的是,LockBit勒索组织的赎金获得率也在诸多老牌勒索组织之上。就2022年数据来看,提出的1亿美元的赎金需求中,勒索成功率高达超过一半,令无数企业闻风丧胆。
难怪有企业安全专家称,LockBit已经成为全球的公敌。
如此高的成功率和LockBit所倡导的勒索软件即服务(RaaS)攻击方式密不可分。所谓勒索软件即服务(RaaS)是一套靠勒索攻击赚钱的盈利模式。与普通的软件公司无异,从开发到销售再到运营,勒索产业链各个环节的建立与协作已然成熟。在规模效益促进各环节赚取更多收入的背景下,越来越多的勒索攻击来自于RaaS。
在LockBit的RaaS模式中,该组织的运营团队只收取20%的赎金分成,剩余的赎金全部分发给其附属组织,高额的分成吸引了大量的勒索攻击团伙,也让导LockBit的勒索组织规模迅速扩大,是其登顶NO.1的核心杀手锏。
二、LockBit 1.0:初入江湖,默默无闻
2019 年 9 月,LockBit 勒索病毒第一次正式亮相,因其使用.abcd 的后缀名来标记已加密的受害者文件,被称惯为“ABCD”勒索软件。早期版本中,LockBit 1.0非常不成熟,作案过程中加密软件不仅使用固定的互斥锁,甚至会残留一些易被杀软、沙箱等安全软件识别和拦截的debug的函数。
随着组织规模不断发展,LockBit1.0开始采用RaaS(Ransomware-as-a-service,勒索软件及服务)模式运营,并在一个著名的俄语论坛XSS上为其合作计划进行广告推广。
八个月后,LockBit 1.0 勒索软件运营商又升级了勒索策略,创建了一个用于公开受害者数据的站点,配合文件加密,试图进一步施压受害者,以期达成“双重勒索”的目的。
经过几次小的升级后,相较于其它勒索软件,LockBit 1.0作案手段更为高超。在针对Windows系统时,加密过程采用 RSA+AES算法加密文件,使用IOCP完成端口+AES-NI指令集提升工作效率,从而实现高性能加密流程,一旦成功加密文件后,所有受害者文件会被添加无法破解的.abcd扩展后缀。
LockBit 勒索软件1.0时期,显示勒索信息的方式主要通过修改受害者系统桌面壁纸(显示勒索信息),并留下名为 Restore-My-Files.txt的勒索信,要求受害者登录暗网,以比特币和门罗币两种形式缴纳赎金。
三、LockBit2.0牛刀小试,初露锋芒
LockBit 1.0 的狂飙之路并不顺利,进入 2021年后,可以发现其攻击活动明显减少。此时的它们也意识到和顶级勒索团队的差距,回去默默地修炼内功。
2021年6月,经过短暂蛰伏,LockBit勒索组织在其泄密网站上宣布高调回归,并带来全新版本—LockBit 2.0。其宣传广告中,LockBit 团队强调新版本提供了 Tor 网络中的管理面板、自动进行解密测试服务、强大的扫描器功能等更加丰富的配套服务(卷,死命卷)。
根据分析来看,LockBit2.0勒索软件延续了前一版本攻击手法,加密方式仍然采用常见的RSA+AES组合,加密后文件扩展名均为.lockbit ,但加密速度变得更快。
LockBit 2.0版本的勒索软件成功加密系统后,会立刻更换桌面壁纸,并留下名为Restore-My-Files.txt的勒索信。
LockBit勒索团伙号称新版本是全世界加密速度最快的勒索软件,加密速度可达373MB/s,是1.x版本加密速度的1.4倍,一分钟内大约可以加密25000个文件,远超其它勒索软件。
此外,LockBit2.0 中新加入了磁盘卷影和日志文件删除等新功能,使得加密后文件更难恢复。更为恐怖的是,LockBit团伙还开发了自己独有的数据窃取工具“StealBit”提供给附属团伙,以作为招募附属计划的一部分,达到“双重勒索”的目的(StealBit窃密工具速度可达到83.46MB/S,下载100G的文件用时只需要19分钟58秒)。
三、LockBit 3.0疯狂的成名之路
经过前两个版本的迭代,LockBit勒索组织已经策划了好几期非常具有代表性的勒索攻击事件,品尝到了勒索攻击的红利,更加坚定继续迭代升级的决心。
2022 年 6 月发布的LockBit 3.0版本中,改进了RaaS操作,引入勒索软件漏洞赏金计划,邀请安全研究人员提交漏洞报告,以换取1000美元至100万美元的奖金。
相比前两代,LockBit 3.0勒索软件在赎金票据做了很大的改变,不再名为Restore-My-Files.txt,而是一个名为“ [random_string].README.txt ”)的随机动态文本,加密扩展名变化为“HLJkNskoq”或“19MqzqzOs”随机静态形式,且锁定文件的图标为ico形式。更可怕的是Lockbit3.0甚至还引入了一个“赏金计划”。如同企业发布漏洞赏金计划激励白帽黑客来发掘漏洞一样,Lockbit3.0的赏金计划也是邀请黑客来发现它们勒索软件的不足之处。这也是勒索领域首个“赏金计划”,充分展现出了Lockbit组织那极其庞大的野心。我也可以想象,经过了“赏金计划”的洗礼,Lockbit的勒索攻击必定会更加难以防御,值得我们提高警惕。
四、一场搅动华尔街巨头的勒索攻击
2022年,Lockbit的最高光时刻当属对大宗商品金融数据公司ION Trading UK的勒索攻击。该攻击直接让华尔街、大型银行、交易所、监管机构都懵了,全球衍生品交易员也因此都“瞎了”。
ION Trading UK是一家大宗商品金融数据公司,其清算衍生品部门在今年1月下旬遭到勒索软件攻击,部分衍生品系统被禁用,全球多家大型银行、交易所和监管机构因此受到牵连。
自电子系统问世以来,期货市场一直依赖以ION为首的数据公司生产的自动化软件来处理交易。ION是少数几家能够处理经纪商交易匹配和协调这一复杂但关键工作的公司之一。
当ION被攻击后,整个期货市场直接就崩了,仿佛回到了上世纪80年代:交易员和经纪商们纷纷开始使用电子表格来手动跟踪交易。网络安全公司Quod Orbis的首席执行官Martin Greenfield补充说道,“这对于大多数银行来说,无疑是一场噩梦。”
据外媒报道,ION被攻击可能影响到的银行包括加拿大皇家银行(RBC)、瑞银(UBS)、麦格理(Macquarie)、荷兰银行(ABN Amro)的清算部门,以及意大利资产规模最大的联合圣保罗银行(Intesa Sanpaolo)。
华尔街特大型交易柜台亦绷紧了神经:青睐该衍生品平台的花旗集团、美国银行、摩根士丹利等大型银行机构正在仔细评估通过ION系统发送的交易信息。有知情人士称,虽然华尔街大型银行在证券等市场的业务尚未被殃及,但最新举动凸显出银行业的谨慎,毕竟ION的衍生品平台几乎被所有的大型银行所采用。
受波及还有期货交易所及监管部门。美国商品期货交易委员会(CFTC)宣布推迟三周发布其交易商承诺(COT)报告;泛欧交易所(Euronext)推迟发布大宗商品衍生品持仓周报;洲际交易所(ICE)则无法按照欧洲规则的要求提供每周期货头寸报告。
最后,ION无法顶住各方带来的巨大压力,向Lockbit勒索组织缴纳了赎金,获得了对方提供的解密密钥,快速完成了断线后的恢复进程。
毫无疑问,这是一场令金融行业印象深刻的勒索攻击,也让Lockbit勒索组织的大名被各大金融巨头所熟知,产生的巨大危害让这些华尔街巨头们依旧心有余悸。
五、LockBit勒索软件席卷全球
ION 勒索攻击案例仅仅是诸多战绩之一,在其整体发展过程中对全球企业机构进行了无数攻击行为,受害者涵盖政府,能源、航空航天、信息技术、咨询、交通等众多重要行业,波及英国、美国、澳大利亚、意大利、奥地利、比利时、巴西、德国等数十个国家。
讽刺的是,LockBit 勒索软件出道时,曾喊出“让勒索软件再次伟大”的响亮口号,而且似乎正在c朝着这个目标前进。