Lockbit或将有大动作？ FBI发布其勒索软件技术细节与防御指南

2月5日，美国联邦调查局 (FBI) 发布了一份与 LockBit 勒索软件攻击相关的技术细节和危害指标。同时，这份指南还提供了Lockbit相关的信息以帮助企业抵御来自该勒索软件团伙的入侵，FBI还要求受害者紧急向当地的 FBI 网络小组报告此类事件。

 

据了解，LockBit勒索软件团伙自 2019 年 9 月推出勒索软件即服务 (RaaS) 模式以来一直十分活跃，在各大俄语黑客论坛招募威胁行为者进行破坏和攻击，并为他们提供技术支持。

 

 

2021 年 6 月，在其勒索软件运营者被禁止在网络犯罪论坛上发帖后，LockBit 创建了其自有的数据泄露网站，并发布了 LockBit 2.0 RaaS 版本卷土重来。

 

在新一版的勒索软件中，该团伙重新设计了 Tor 站点并彻底升级了恶意软件，添加了更多高级功能，包括通过 Active Directory 组策略跨 Windows 域自动加密设备等。今年1月份，有研究人员发现，LockBit 还在其工具包中添加了一个针对 VMware ESXi 服务器的 Linux 加密器。

 

该团伙之后还试图通过招募内部人员来消除中间人，让他们通过虚拟专用网络 (VPN) 和远程桌面协议 (RDP) 攻击目标企业网络。

 

在 LockBit 勒索软件的具体运营技术细节中，FBI 还透露，该恶意软件带有一个隐藏的调试窗口，可以在感染过程中使用 SHIFT + F1 键盘快捷键激活。可用于查看加密过程的实时信息，跟踪用户数据销毁的状态。

 

LockBit 勒索软件状态窗口 (FBI)

 

在FBI这份Lockbit 勒索软件技术细节与防御指南发布之前，澳大利亚网络安全机构曾于 2021年 8月发布过一次关于LockBit 勒索软件攻击迅速升级的警告。

 

随之几天后，财富 500 强公司和世界上最大的 IT 服务和咨询公司之一埃森哲便对外公布，遭到了 LockBit 勒索软件攻击， LockBit 威胁要泄露从其网络中窃取的数据并要求支付 5000 万美元赎金。

 

虽然 FBI 本次没有说明为什么突然发布这份防御指南，但它确实要求管理员和网络安全专业人员分享有关针对其公司网络的 LockBit 攻击的信息。

 

“FBI 正在寻找任何可以共享的信息，包括显示与外国 IP 地址之间的通信的边界日志、赎金记录样本、与威胁参与者的通信、比特币钱包信息、解密文件和/或良性一个加密文件的样本，”FBI表示说。

 

“联邦调查局鼓励本文件的接收者向当地的联邦调查局外地办事处报告有关可疑或犯罪活动的信息。通过向 FBI Cyber Squads 报告任何相关信息，您正在协助共享信息，使 FBI 能够跟踪恶意行为者并与私营企业和美国政府协调，以防止未来的入侵和攻击。”

 

 

FBI 提供许多条缓解措施，帮助企业保护他们的网络免受 LockBit 勒索软件攻击，包括：

 

要求所有使用密码登录的帐户（例如，服务帐户、管理员帐户和域管理员帐户）都具有强而唯一的密码

尽可能要求对所有服务进行多重身份验证

使所有操作系统和软件保持最新状态

删除对管理共享的不必要访问

使用基于主机的防火墙仅允许通过服务器消息块 (SMB) 从一组有限的管理员计算机连接到管理共享

在 Windows 操作系统中启用受保护的文件，以防止对关键文件进行未经授权的更改。

 

此外，管理员还可以通过采取以下措施来阻碍勒索软件运营商的网络发现工作：

 

分割网络以防止勒索软件的传播;

使用网络监控工具识别、检测和调查指定勒索软件的异常活动和潜在遍历;

为在管理员级别和更高级别设置的帐户实施基于时间的访问;

禁用命令行和脚本活动和权限;

维护数据的离线备份，并定期维护备份和恢复;

确保所有备份数据都是加密的、不可变的，并涵盖整个组织的数据基础架构。

 

联邦调查局还补充说，它不鼓励支付赎金，并建议公司不要这样做，因为它不能保证支付将保护他们免受未来的攻击或数据泄露。屈服于勒索软件团伙的要求会进一步为他们的运营提供资金，并激励他们瞄准更多受害者，它还激励其他网络犯罪集团加入他们进行非法活动。

 

但与此同时，FBI 也承认勒索软件攻击的后果可能会迫使公司考虑支付赎金以保护股东、客户或员工。因此，FBI强烈建议将此类事件报告给当地的 FBI 外地办事处。即使企业为此支付了赎金，FBI 仍然敦促及时报告勒索软件事件，因为它将提供关键信息，使执法部门能够通过跟踪勒索软件攻击者并让他们对自己的行为负责来防止未来的攻击。