Часть 1. Предисловие

Привет всем, я ABC_123。в последние два Годсередина,Группа вымогателей LockBitшифрование очень активна,Только в Соединенных Штатах они успешно вымогали колоссальные 91 миллион долларов. С начала 2022 года по настоящее время,Операторы LockBit утверждают, что проникли в более чем 500 организаций в различных сферах по всему миру.,иLockBit 3.0 и его варианты стали предметом глобального внимания нафокусныйшифрованиешантажироватьпрограммное обеспечение。недавно,Группа LockBit использовала Citrix Bleedлазейки (CVE-2023-4966) атаковала несколько важных целей, включая американские авиалинии Boeing и крупный банк.,Он привлек широкое внимание в различных отраслях. Ввиду того, что многие пользователи сети надеются, что ABC_123 представит организацию-вымогатель LockBitшифрование,Сегодня мы поближе познакомимся с организацией-вымогателем LockBitшифрование.

Примечание:LockBitшантажироватьпрограммное обеспечениеиспользоватьRSAиAESждатьшифрованиеалгоритм,исуществовать没有解密密钥из情况通常是无法解密из。много Год ПриходитьLockBitникогда не раскрывает свое хранилище ключей。Microsoft обнаружила, что в LockBit версии 2.0 есть ошибка, позволяющая расшифровать его при определенных особых обстоятельствах.,Например, библиотеку данных Mssql можно восстановить. также,Поскольку LockBit шифрует только первые 4КБданные файла,Поэтому часть данных можно восстановить. Однако,Полной расшифровки добиться невозможно.

Часть 2 История развития LockBit

Во-первых, позвольте мне представить вам ключевые события семейства шифровальщиков LockBit в этих событиях. Early Программа-вымогатель Имена файлов LockBit, заканчивающиеся на .abcd из-за шифрования,Так это называетсяПрограмма-вымогатель с шифрованием ABCD,Позже сменил название на LockBit.

后ПриходитьLockBitРазмещено на российском хакерском форуме.Партнерская программа RaaS (программы-вымогатели как услуга),Быстро набрали много партнёров,С выходом LockBit2.0 и кражей данных трояна StealBit,Начал быстрое развитие и расширение организации, занимающейся вымогательством LockBitшифрование.,А в начале 2022 года оно заменило программу-вымогатель Contiшифрование как самое влиятельное программное обеспечение для шифрования программ-вымогателей.

Впоследствии Microsoft обнаружила ошибку в LockBit2.0, и данные по-прежнему можно было расшифровать без уплаты выкупа.LockBitСкоро выйдет3.0версия это исправляетbug,Потом запустил баунти-программу лазейки.,Исследователи, обнаружившие ошибку в программном обеспечении LockBit,Доступны призы от 1000 до 1 миллиона долларов США.

Следовать заLockBitОпубликовано сноваБизнес по вымогательству с тройным шифрованием,Включите DDoS-атаки в сферу деятельности. Последующие споры разгорелись между разработчиками LockBit и операторами LockBit.,Опубликуйте конструктор LockBit на Github. Новая версия LockBit начала поддерживать Apple, Linux, FreeBSD и другие системы.

Часть 3 Алмазная модель организации LockBit

Тщательно изучив почти сотню зарубежных отчетов,,ABC_123 имеет некоторые сведения о группе программ-вымогателей LockBitшифрование.,采用可扩展钻石模型Приходить描述LockBitшифрованиешантажировать组织。обратитесь к этомуСхема модели ромба,Далее мы представляем структуру шифрования вымогателей LockBit из 4 ключевых факторов.

1 атакующий (противник)

Введение в LockBit:LockBit В настоящее время он состоит из 10 основных членов (включая тестеров на проникновение, специалистов по отмыванию денег, тестировщиков и переговорщиков) и более 100 дочерних агентств, число которых в будущем увеличится до 300. Официальный блог LockBit утверждает, что находится в Нидерландах, но, судя по тому, что цели его атак избегают России и стран СНГ, некоторые исследователи полагают, что он принадлежит и России. Код программы-вымогателя, зашифрованной LockBit, частично совпадает с кодом групп программ-вымогателей, зашифрованных BlackMatter и Conti. Есть подозрение, что разработчики других групп программ-вымогателей, использующих шифрование, укрылись в LockBit, чтобы помочь им улучшить функции своего кода.

Операционный путь:отLockBitшифрованиешантажировать组织из发展史Приходить看,Операторы LockBit обладают очень хорошей деловой хваткой.,Этими несколькими днями тщательно руководил Год.,сосредоточиться программа-вымогатель для пользователей, защищающая от шифрования обеспечениеизиспользовать体验,Переманивать людей у ​​конкурентов,Постепенно превратитесь в одну из самых профессиональных и организованных банд киберпреступников.。LockBit всегда заявляла, что ее не волнует политика, а заботится только о зарабатывании денег. Ее лозунг основан на словах президента Трампа «Сделайте программы-вымогатели снова великими».LockBitоператоров обычно работают только с опытными тестировщиками на проникновение,Особенно тем, кто умеет пользоваться Metasploit и CobaltStrike.,Партнеры Задача LockBit — получить первичный доступ к жертве и самостоятельно решить, как доставить Программу-вымогатель. LockBit。

Распределение доходов:Что все обычно думаютLockBitЗлоумышленникLockBitОператор、LockBitкоманда исследований и разработок,Фактически, LockBit использует операционную модель RaaS (программа-вымогатель как услуга).,Эта модель похожа на бизнес-модель, развивающуюся в оффлайне.,А именно операторы LockBit разработали программное обеспечение-вымогатель. и сдавать его в аренду партнерам, использующим Программу-вымогатель. LockBitпровести свой собственныйшифрованиешантажировать活动,И заплатить определенную комиссию оператору LockBit. Таким образом, в число злоумышленников LockBit входят и покупатели ее сервиса RaaS.,мы называем этоПартнеры LockBit。LockBitиз Операторот这些附属机构所获得из利润середина抽取20%доля,Если партнеру требуется дополнительная поддержка со стороны организации LockBit при переговорах с жертвой,Тогда это соотношение акций может увеличиться до 30-50%.

2 Жертва

Цель жертвы:LockBitОсновной целью атак является получение конфиденциальной информации.данные、Сильная платежеспособность,Потом есть мишени лазейки на периферии,Среди них США, Европа (Германия,Экономически развитые страны, такие как Италия) являются его основными целями.,Кроме того, в него также входят Япония, Ближний Восток, Африка, Латинская Америка и т. д. Отрасли, на которые он в основном нацелен, включают финансовую отрасль, базовое производство, оптовую и розничную торговлю, строительство, аэрокосмическую отрасль, электроэнергетику, логистику и т. д. Стоит отметить, что,Операторы LockBit заявляют, что не будут атаковать медицинские учреждения, агентства социального обслуживания, образовательные учреждения, благотворительные организации и другие организации, которые «способствуют выживанию человечества».,Но из-за множества филиалов,Эти филиалы часто не соблюдают это правило.,Продолжаем атаковать индустрию здравоохранения и образования,В настоящее время операторы LockBit не будут привлекать к ответственности филиалов.

Недавние жертвы:LockBitсуществоватьнедавно攻击了美国波音公司、Итальянское налоговое агентство、Поставщик запчастей для ракет SpaceX、Королевская почта、Жилищное управление Лос-Анджелеса、Американская компания цифровой безопасности Entrust、Бангкокские авиалинии、Монреаль, Комиссия по обслуживанию Канады (CSEM)、Министерство финансов Калифорнии、Французские операторы связи и многое другое.

Сфера влияния:существовать2022Год,На LockBit приходится 18% инцидентов с программами-вымогателями в Австралии,22% Канады,23% Новой Зеландии,США 16%,с 2020 Год 1 луна 5 Впервые наблюдался в США. LockBit С начала кампании только из Соединенных Штатов было вытащено около 91 миллиона долларов.

3 Инфраструктура

• Программа-вымогатель LockBit

LockBit 2.0 — это программное обеспечение, использующее Assembly и Origin. Программа-вымогатель для шифрования, разработанная на языке программирования C. программное обеспечение, способное атаковать операционные системы Windows и Linux. 10луна 2021 года операторы LockBit выпустили специальное решение для VMware Версия среды виртуальной машины ESXI для Linux. Эта версия написана на языке C.

Организация LockBit утверждает, что ее версия 2.0 является самой быстрозашифрованной программой-вымогателем в мире, и опубликовала сравнительную таблицу, показывающую скорость шифрования различных образцов программ-вымогателей. Согласно этой сравнительной таблице,LockBit 2.0 способен шифровать примерно 25 секунд за одну минута,000 файлов. также,Данные даркнета показывают,Скорость шифрования LockBit составляет до 373 МБ в секунду, что делает его самым высоким среди всех программ-вымогателей.；它能够существовать大约四分半钟内шифрование100GBизданные。

Причина, по которой LockBit может достичь такой высокой скорости шифрования, заключается в конструкции механизма шифрования. LockBit шифрует только первые 4 КБ данных файла. Этот метод уменьшает объем данных, которые необходимо обработать в процессе шифрования, тем самым значительно повышая эффективность операций шифрования.

• Скриншоты версий LockBit

ABC_123 получил образцы изображений различных версий LockBit из зарубежных отчетов и скомпилировал их, чтобы дать каждому интуитивное представление о программе-вымогателе, шифрующем LockBit.

Скриншот версии LockBit1.0 после шифрования выглядит следующим образом:

Более ранние версии расширения криптовымогателя LockBit заканчивались на .abcd.

Документация для крипто-вымогателей следующая:

Скриншот после шифрования версии LockBit2.0 выглядит следующим образом:

Расширение программы-вымогателя с шифрованием LockBit2.0 заканчивается на .lockbit, фон рабочего стола будет заменен, а имя файла — «Restore-My-Files.txt».

Скриншот после шифрования версии LockBit3.0 выглядит следующим образом:

Фон рабочего стола будет заменен, а зашифрованный файл будет иметь произвольный формат, например .HLjkNskoq или 19MqzqzOs, с 9 случайными символами, оставив документ с именем {9}, например QUh2IBhbp.README.txt.

Скриншот версии LockBit Green после шифрования выглядит следующим образом:

Имена зашифрованных файлов: от «1.jpg» до «1.jpg.7ec3rqvr», от «2.doc» до «2.doc.7ec3rqvr» и т. д.

Документация для крипто-вымогателей следующая:

• Троян StealBit, похищающий данные

После запуска LockBit2.0,Разработчики LockBit также разработали Троян StealBit, похищающий данные.,Это универсальный и легко настраиваемый инструмент для кражи пользователей.,Это позволяет пользователям настраивать несколько конфигураций.,Например, сетевые ограничения, ограничение размера файла, фильтрация файлов по ключевым словам и расширениям файлов.,Включите функцию самоудаления и определите общий доступ к локальной сети и другие функции. Согласно введению LockBit,StealBit может загружать данные со скоростью до 83,46 МБ/с, что означает, что он может украсть 100 ГБ данных всего за 19 минут и 58 секунд.。LockBit Оператор 2.0 также предоставляет сравнительную таблицу скоростей передачи данных, в которой наглядно видна разница в скорости между StealBit и поставщиками облачных файлообменников, такими как mega, yandex и pcloud.

• Инструмент бэкдора Exfiltrator-22

Введение инструмента:Exfiltrator-22это новый тип инструмента пост-эксплуатации,目标是существовать企业内部网络развертыватьшифрованиешантажироватьпрограммное программного обеспечения, хотя и уклоняется от обнаружения безопасности, некоторые данные свидетельствуют о том, что EX-22 может иметь связи с бывшими филиалами или членами LockBit. EX-22 впервые появился в ноябре 2022 года, а в начале ноября 2022 года был создан канал Telegram для продвижения этого инструмента с ценой 1000 долларов США за пользователя и пожизненным членством в 5000 долларов США, обеспечивая при этом постоянные обновления и поддержку. Когда участники подписываются на этот инструмент, они получают доступ к панели администратора, которая позволяет злоумышленникам удаленно управлять вредоносным программным обеспечением, которое они развертывают на зараженных устройствах. обеспечение。

Введение функции:EX-22额外添加了增强шантажироватьпрограммное обеспечениеразвертыватьиданные盗窃из Функция,Он также имеет общие функции с другими инструментами проникновения через бэкдор.,нравитьсякейлоггинг Функция、Загрузка и скачивание файлов、Функция оболочки отскока、шифрование функций программ-вымогателей、скриншот、кейлоггинг、Живая сессия VNC、Повышение привилегий、Разрешение на обслуживание、Внутреннее горизонтальное движение、Передача LSASS для извлечения конфиденциальной информации、Кража токена сеанса и т. д.

Анализ гомологии:LockBit 3.0 и EX-22 В примерах используется одна и та же инфраструктура C2, и оба используют плагин обфускации TOR (Onion Routing Project) Meek и интерфейс домена для сокрытия вредоносного трафика внутри законных HTTPS-соединений с авторитетными платформами. Несмотря на это сходство, программа LockBit Ransomware В сообщении на сайте утечки команда разработчиков опровергла какую-либо связь с инструментом и заявила, что EX-22 был пиар-ходом какого-то новичка.

Как показано на рисунке ниже, Ex-22 Выберите, какой из них использовать, в зависимости от полезной нагрузки и операционной системы. UAC Обходной метод,攻击者所需要做из就是использовать“F&E”Заказ。

• Панель администратора Лок Бит

LockBitшантажироватьпрограммное Программное обеспечение оснащено внутренней панелью управления, с помощью которой филиалы оператора LockBit могут управлять учетными записями жертв и партнеров, создавать новые программы-вымогатели. версию программного обеспечения, генерировать дешифратор после уплаты требуемого выкупа и т. д.

• Официальный блог LockBit

На изображении ниже представлен снимок экрана даркнет-блога LockBit. В блоге опубликован неполный список жертв, в который входят различные организации по всему миру, подвергшиеся атаке программы-вымогателя LockBit. Помимо требования оплаты за восстановление данных, операторы LockBit также предупреждают, что конфиденциальные данные будут раскрыты общественности, если выкуп не будет выплачен в кратчайшие сроки.

в соответствии с Программа-вымогатель Вводный документ LockBit, установите браузер Onion Tor и посетите адрес даркнета, чтобы увидеть официальный блог LockBit в даркнете. Как только жертва заражается программой-вымогателем LockBit и получает большой объем данных, информация о жертве и переговоры о выкупе. О ситуации будет объявлено на официальном сайте. блог Локбит выше,Жертве необходимо нажать на соответствующую ссылку, чтобы договориться о выкупе с оператором LockBit.,Если в результате переговоров не удастся прийти к соглашению, оператор LockBit опубликует адрес загрузки своих данных после указанной даты.。

В блоге отображается ряд подробностей о жертве, включая оставшееся время для выплаты выкупа, название организации-жертвы, общий размер украденных данных, срок действия данных жертвы, подлежащих раскрытию, конкретный метод выплата выкупа и украденный образец. Чтобы проверить подлинность, жертвы могут обратиться к оператору LockBit, чтобы он бесплатно расшифровал файл на этом сайте Tor. По сравнению с традиционными зашифрованными программами-вымогателями этот метод работы усиливает у жертвы чувство безотлагательности и усиливает психологическое давление на жертву, демонстрируя серьезные последствия, если выкуп не будет уплачен, тем самым побуждая жертву заплатить выкуп.

Если угроза вымогательства LockBitшифрование была распространена в частном порядке,Тогда имена этих жертв не появятся в блоге Lockbit.,Так что список жертв на этом блоге не полный,Например, название крупного банка на конец 2023 года.,Его нет в этом блоге.

• Записи переговоров LockBit с жертвами

Платформа LockBit RaaS, которая ориентирована на обработку платежей выкупа и разработку новых функций, позволяет любому партнеру зарегистрировать учетную запись и создать свою собственную версию программы-вымогателя LockBit. программного обеспечения, а связанные с ним злоумышленники могут решать, как доставлять и распространять настроенную программу-вымогатель. обеспечение. На странице жертвы отображается окно чата «Поддержка», которое позволяет напрямую общаться с злоумышленником, программой-вымогателем. Операторы программного обеспечения часто используют это для переговоров с жертвами и оказания дополнительного давления.

Банда вымогателей LockBit также опубликовала чаты, связанные с переговорами с BSI Bank.,Операторы LockBit требуют выкуп в размере 20 миллионов долларов. Но в итоге стороны не пришли к соглашению,LockBit наконец-то раскрыл данные клиента BSI Bank в даркнете,включить адресданные、Имя、Информация о файле、банковский баланс、Сделано транзакций、Финансовые и юридические документы и т.д.

Вот что LockBit требует от Royal Mail в качестве выкупа в размере 80 миллионов долларов.

Окончательные переговоры не увенчались успехом, поскольку совет директоров Royal Mail не хотел платить за это, поскольку, по их мнению, когда LockBit получила эти конфиденциальные файлы или данные из их системы, эти файлы были утекли, и оплаты LockBit было недостаточно. это действие.

4 Возможности/TTP

Инфекционность:Программа-вымогатель LockBit может заражать системы Windows, Linux, VMware vSphere и виртуальной среды ESXI, новая версия расширяет сферу влияния на различные архитектуры: Apple, Linux, FreeBSD. Программа-вымогатель LockBit выполнит проверки перед начальной операцией, чтобы получить язык пользовательского интерфейса системы по умолчанию () и получить язык пользовательского интерфейса по умолчанию. UILanguage(),Избегайте запуска на компьютерных системах CIS или компьютерах с установленными общими языками CIS.,В число этих стран СНГ входят: Беларусь, Грузия, Казахстан, Кыргызстан, Россия, Узбекистан и Украина. Этот шаг может быть сделан для того, чтобы избежать некоторой юридической ответственности.,Из этого делается вывод, чтошифрованиешантажировать组织из成员可能与Россиясвязанный。

Тройной шантаж:LockBitизшантажировать方式是много重из,называетсядвойной шантажили естьтройной шантаж,Они похитят конфиденциальную информацию жертвы с помощью трояна удаленного управления StealBit.,Затем шифрование важных файлов компьютера жертвы.,и публиковать информацию об угрозах в даркнет-блоге LockBit.,Заставить жертв заплатить выкуп, опубликовав конфиденциальную информацию компании.,Заставлять жертв платить выкуп,Этодвойной шантаж。кроме,Новая версия операторов Lockbit будет запускать DDoS-атаки на инфраструктуру и сайты жертв,Это называетсятройной шантаж。

DDoS-атака:2022Год8лунаделиться,LockBitОбъявление“шифрование、украсть секреты、DDOS”тройной стратегия шантаж, которая также предназначена для охранных предприятий Entrust случай мести. В этом инциденте Entrust использовала DDoS для атаки на действующий веб-сайт LockBit, пытаясь предотвратить утечку конфиденциальных данных LockBit, что побудило LockBit RaaS宣布他们将添加第三种шантажировать策略,и наняли персонал для DDoS,Чтобы максимизировать воздействие на целевые жертвы,Это означает парализацию бизнеса жертвы без уплаты выкупа.。

HTTPS-запрос, отправленный злоумышленником DDoS, также содержит соответствующие инструкции в строке пользовательского агента, запрашивающие удаление данных Entrust. Позже LockBit отреагировал, раскрыв торрент-файл с именем entrust.com, который содержал файл размером 343 ГБ. Вскоре после этого LockBit вернулась к работе и увеличила количество зеркальных серверов для защиты от DDos-атак.

Награда за ошибку:微软из安全研究员发现LockBit2.0是存существовать解密bugиз,Расшифровка все еще возможна без уплаты выкупа,Поэтому оператор LockBit быстро выпустил LockBit3.0, чтобы исправить вышеуказанную ошибку.,Потом запустил баунти-программу лазейки.,Поощряйте исследователей находить ошибки,можно получить1000приезжать100万美元излазейкибонус。2022 Год ОператорLockBit однажды предложил вознаграждение в размере 50 000 долларов человеку, сообщившему об ошибке в программном обеспечении, шифрующем программу-вымогатель.。

Способ оплаты:включатьMonero、БиткойниZcashждать。и Биткойн不同,Монеты Zcash более скрытны, и их сложнее отследить.

Сфера влияния:существовать2022Год,LockBitсуществоватьWindows平台上占据了шантажироватьпрограммное На программное обеспечение приходится треть атак, при этом большинство атак происходит в будние дни, что составляет примерно 78% от общего числа, а 22% происходит в выходные дни. Согласно анализу утечки данных веб-сайта и зарубежным отчетам, LockBit стал самым влиятельным оператором RaaS-шифрования вымогателей в течение пяти лет подряд, начиная с версии 2.0. На версию 2.0 приходится 46% утечек программ-вымогателей «Годшифрование 2022», опубликованных на сайте утечки. Кроме того, Локбит 2.0 Сайт утечки RaaS сообщил о самом большом количестве жертв — более 850.

Часть 4. Технический и тактический анализ LockBit2.0

Поскольку группа шифровальщиков LockBit принимает операционную модель RaaS,По оценкам, существуют сотни филиалов.,Методы атаки каждого филиала различаются. поэтому,各个安全研究机构捕捉приезжатьизLockBitшантажироватьпрограммное Softwareattack, в стратегиях, методах и процедурах атак (TTP) 方面存существовать显著差异。Эта разница TTP создает серьезные проблемы для организаций, работающих над поддержанием сетевой безопасности и защитой от угроз программ-вымогателей.。

Ссылаясь на предыдущие зарубежные отчеты, ABC_123 нарисовал следующую техническую и тактическую диаграмму, которая также показывает, на каких областях защитникам следует сосредоточиться для защиты от вируса-вымогателя LockBit.

Операторы и филиалы LockBit найдут способы получить первоначальные права доступа жертвы и использовать их для доставки зашифрованных программ-вымогателей. Методы атаки можно условно разделить на следующие методы:

1 Расширенное сканирование уязвимостей。использоватьNdayлазейки、1dayлазейки、0dayлазейкисуществовать资产测绘上批量扫描,Это часто называют забрасыванием широкой сети.

2 сотрудника-призрака в компании。Подкуп деньгами Сотрудники-призраки в компании,LockBit однажды предоставил инсайдерам доступ к важному корпоративному доступу,Инсайдерам, которые нажимали на электронные письма с требованием выкупа или вручную запускали вирусные программы, платили миллионы долларов.

3 новые однодневные уязвимости。нравиться飞塔防火墙CVE-2018-13379лазейки,Citrix Уязвимость сетевого устройства NetScaler, VMware уязвимость log4j2, уязвимость выполнения кода F5 и т. д.

4 пароля к учетным записям, продаваемые в даркнете。включатьVPN、RDP、Пароль от корпоративной электронной почты.

5 Разрешение на продажу недвижимости IAB。LockBit组织会отIAB攻击者手середина购买相应权限。

6 учетных данных пароля RDP。Покупайте под землей илиRDPПолучить методом грубой силы

7. Использование VPN。проходитьVPNлазейкиилиVPNслабый пароль。

8 Социальный работник на рыбалке。существовать邮件из附件середина捆绑后门,Существуют также бэкдоры обработки макросов для Office.

Резюме части 5

1. для различныхшифрованиешантажировать组织,Нестабильность преступных организаций и внутренняя политика представляют собой постоянный риск.,Достаточно одного недовольного члена, чтобы уничтожить целую организацию, занимающуюся шифрованием программ-вымогателей.,Конти является примером,LockBit также столкнулся с подобными проблемами.

2. Продолжение. Дальнейший анализ техник и тактик LockBit будет проведен в следующей статье ABC_123, так что следите за обновлениями.。