犯罪分子使用LockBit 3.0勒索軟件攻擊獲利百萬美元

該警報是通過聯邦調查局、CISA和多州信息共享與分析中心（MS-ISAC）發出的。

當局說，LockBit 3.0勒索軟件的操作功能是一種勒索軟件即服務（RaaS）模式，是以前的勒索軟件LockBit 2.0和LockBit的延續。自2019年LockBit勒索軟件出現以來，威脅行為者為了更精細地開發增強其惡意軟件，投資使用了新的技術輔助手段，發布了兩個重要的更新，在2021年中期推出LockBit 2.0，以及在2022年6月發布LockBit 3.0。這兩個版本也分別被稱為LockBit Red和LockBit Black。

根據該警報，LockBit 3.0可以接受額外的參數，用于橫向移動和重啟到安全模式。如果LockBit攻擊者沒有使用無密碼的LockBit 3.0贖金軟件，那么在執行勒索軟件的過程中，密碼參數是必須要使用的。

 并且，該勒索軟件被制成了只會感染那些特定語言偏好以及和特征列表中相符合的計算機，其中包括韃靼語、阿拉伯語和羅馬尼亞語（這些語言都在敘利亞、摩爾多瓦和俄羅斯）。受害者的網絡是通過遠程協議（RDP）的利用、網絡釣魚活動、有效賬戶的利用以及面向公眾的應用程序的漏洞利用工具而被非法訪問。

在使用加密程序之前，該惡意軟件首先會試圖進行權限維持，增加權限，進行橫向移動，并清除日志文件、Windows回收站文件夾中的文件和系統備份。

安全專家說，目前我們已經觀察到LockBit附屬機構在入侵過程中使用了各種免費軟件和開源工具，這些工具被用于一系列的攻擊活動，如網絡偵察、遠程訪問和隧道、憑證轉儲和文件滲出。

此次攻擊的主要特征之一是使用了大量的定制的滲出工具，這些工具被稱為StealBit，由LockBit集團授權給其附屬機構。

根據美國司法部11月的一份報告，LockBit勒索軟件已經在全球范圍內對至少1000名受害者進行攻擊，為該組織獲得了超過1億美元的非法收入。

LokBit攻擊事件的激增

一家名為Dragons的工業網絡安全公司今年早些時候報告說，在2022年第四季度檢測到的針對關鍵基礎設施的189次勒索軟件攻擊中，有21%是由LockBit勒索軟件造成的，這類事件有40起。事實上，大多數食品和飲料以及制造業都因這些攻擊而受到了影響。

在最近的報告中，聯邦調查局的互聯網犯罪投訴中心（IC3）將LockBit（149）、BlackCat（114）和Hive（87）列為2022年針對基礎設施部門的三大勒索軟件變體。

盡管LockBit的攻擊活動非常多，但在2022年9月底，這個勒索軟件團伙遭到了嚴重挫折，當時LockBit的一名開發者泄露了LockBit 3.0的工程代碼，引發了人們對其他犯罪分子會利用這些代碼并產生他們自己的變種的擔憂。

這些信息是在殺毒軟件公司Avast于2023年1月提供免費解密器后的幾個月發布的，此時BianLian勒索軟件組織已將其攻擊重點從加密受害者的文件轉到直接進行數據盜竊并對系統進行勒索。

這在以前有過類似的經歷，卡巴斯基目前已經發布了一個免費的解密器，幫助那些數據被基于康蒂源代碼的勒索軟件變體加密的受害者。

英特爾去年指出，鑒于LockBit 3.0和Conti勒索軟件變體的復雜性，人們很容易忘記這些攻擊的背后，還有犯罪集團在經營。而且，與其他的合法組織一樣，只要有一個人泄密，就可以破壞一個復雜的攻擊行動。