LockBit勒索软件:泄露工具导致数百种分支版本涌现
去年,LockBit 3.0加密软件生成工具的泄露引发了一系列的变化,研究人员现在正密切关注从这一事件中产生的数百个新分支版本。
近日,卡巴斯基网络安全研究人员发现了经过重大修改的LockBit版本。这一版本据信由自称为“国家危险机构”的组织分发,与LockBit 3.0的主要区别在于其“勒索字条”。
通常情况下,LockBit并不会指定支付解密密钥所需的金额,而是通过其自己的平台与受害者进行沟通和协商。然而,这个特定组织确切地告知了受害者他们期望支付多少金额,并敦促他们使用Tox服务和电子邮件进行沟通。
LockBit勒索软件简介
LockBit是一种范围广泛的勒索网络攻击中的新型勒索软件。过去它也被称为“ABCD”勒索软件,但现在已经发展成为同类勒索工具中的一种独特威胁。LockBit是“加密病毒”勒索软件的一个分支,因为它构造了与财务付款有关的勒索请求,以换取解密服务。它主要针对的是企业和政府机构,而不是个人。
LockBit的攻击最早出现在2019年9月,当时它被称为“.abcd病毒”,这是因为加密受害者文件时会将文件扩展名改为.abcd。过去的主要目标包括美国、中国、印度、印尼和乌克兰的公司,还有一些欧洲国家(如法国、英国和德国)的机构也遭受了攻击。
它的目标通常是那些因为中断而付出高昂代价的公司,这些公司愿意为解除障碍而支付高额赎金。因此,LockBit可能针对大型企业(从医疗保健到金融机构)展开广泛攻击。值得注意的是,这个恶意软件似乎有意避免攻击俄罗斯或独联体成员国的本地系统,可能是为了避免引起当地的关注和干预。
LockBit采用勒索软件即服务(RaaS)的模式。有意使用该服务的各方支付押金以获得自定义的攻击工具,并在会员框架内分成。赎金被分配给LockBit开发团队和发起攻击的会员,后者最多可获得赎金的3/4。
数百种LockBit分支版本
卡巴斯基的遥测数据发现近400个独特的LockBit样本,其中312个是使用泄露的生成工具创建的。
LockBit被认为是最成功的勒索软件之一。根据发布的安全报告,自从2020年以来,仅在美国,LockBit已经盗取了约9100万美元。在过去的三年中,该组织已经成功入侵了约1700个美国组织。
LockBit的演变
作为最新的勒索软件攻击,LockBit威胁可能是一个严重问题。
- 变体1 - .abcd扩展名:最初版本的LockBit使用.abcd扩展名对文件进行重命名。此外,它还附带一个勒索提示,在名为“Restore-My-Files.txt”的文件中提供了恢复文件的要求和说明,该文件被插入到每个受影响文件夹中。
- 变体2 - .LockBit扩展名:第二个已知版本采用了.LockBit文件扩展名,这也是当前版本名称的来源。然而,尽管后端进行了一些调整,但此版本的其他特征似乎基本相同。
- 变体3 - .LockBit版本2*:下一个可识别的LockBit版本不再要求受害者下载Tor浏览器以查看解密信息。相反,它通过常规的互联网访问将受害者引导到备用网站。
LockBit的进一步更新
最近,LockBit已经引入了更多的恶意功能,例如禁用管理权限检查点。此外,该恶意软件现在能够窃取服务器数据的副本,并在勒索说明中包含了额外的威胁,威胁将公开受害者的隐私数据,以确保受害者遵守其指示。
这表明LockBit勒索软件继续不断发展和改进,可能会对受影响组织造成更大的威胁。企业和机构需要加强网络安全措施,保护自己免受勒索软件攻击的影响。