Lockbit勒索软件 分析报告 360数字安全集团高级威胁研究分析中心 (CCTGA 勒索软件防范应对工作组成员） 编勒索软件流行态势概述 ................................... .......................................... 01 Lockbit 勒索软件简述 ................................... ......................................... 02 Lockbit 演化与 RaaS模式 ........................ ......................................... 03 最初成型 ......................................... ....................................................... 03 重整旗鼓 ........................................ ....................................................... 03 强势再临 ......................................... ....................................................... 04 RaaS运营模式 .......................... ....................................................... 04 Lockbit 攻击技战术特点 .............................. ......................................... 06 LockBit 重点攻击事件 ................................... ......................................... 09 安全防范建议 ....................................................... .......................................... 12 发现遭受勒索软件攻击后的处理流程 ...................................... 12 针对LockBit 勒索事件的排查建议 ......................................... 13 360针对LockBit 勒索事件的解决方案 .............................. 15目录 CONTENTSLockbit 勒索软件分析报告01 P.勒索软件流行态势概述 勒索软件自 2015年出现以来始终处于一种高歌猛进的态势。根据 360数字安全集团高级威胁研究分析中心编写的 《2022年 勒 索 软 件 流 行 态 势 报 告 》指 出 ，受 俄 乌 冲 突 和 疫 情 等 多 方 面 影 响 ，国 内 外 发 生 的 一 系 列 大 事 件 也 影 响 着 网 络 安 全的发展形势。这其中，俄乌之间互投多轮 “擦除器” 勒索软件攻击事件，进一步展现了网络战在现代战争与国际对抗 中的应用。此外， LockBit 更新至 3.0版的同时也加强了对大型政企目标的攻势， 这也是一个重大的标志性事件。它 预示着勒索攻击已不局限于对个人或企业造成威胁， 其攻击影响已经开始触及国家安全。 而国内的勒索软件的攻击事件也此起彼伏，以 Coffee为代表的本土勒索软件强势兴起，意味着这一条黑色产业链也 已经在国内扎根。已经有越来越多的不法人员有组织的参与其中――这将对国内未来的网络安全形成更多挑战。 根据360安全云统计， 2022年共处理反勒索服务求助案例 4700余例。反馈案例中，单个企业大面积中招的事件 进 一 步 增 多 ，以 Lockbit 为代表的更针对大中型企业且间距双 /多重勒索能力的勒索攻击影响也在逐步扩大。01 Lockbit 勒索软件分析报告02 P.Lockbit 勒索软件简述 LockBit 勒 索 软 件 家 族 ，又 被 称 作“ ABCD” 、“LockBit2.0 ” 、“LockBi3.0 ”等 ，也 有 分 析 人 员 认 为 该 家 族 是 由“ LockerGoga ” 和“MegaCortex ” 两个勒索软件家族演变而来。 一旦受该勒索软件感染， 系统中的文件将被加密。 受害者需要向黑 客支付赎金购买密钥才能解密文件。 该家族最早于 2019年10月被发现。 该软件在运行时会检查当前运行的操作系统语言， 并主动规避俄语系主机， 不会 在俄语系主机间进行传播。 同时， 其采用了当前比较热门的 RaaS（勒索软件即服务） 运营模式， 也进一步为其大规模 的传播和获利提供了便利条件。 被该家族攻击的受害者通常被分为两类： 1. 针对性攻击， 此类受害者通常为大中型企业或组织。 攻击者在部署勒索软件之前通常还会从受害者的内部网络中 窃取大量敏感数据作为威胁受害者支付赎金的重要筹码； 2. 无针对性的撒网式传播， 受类害者通常为小型企业或个人 PC。攻击者在此类攻击中通常不会窃取数据而仅是加密 其数据文件作为勒索筹码。 Lockbit 自我标榜的一些特点还有： ・ 否认来自俄罗斯， 号称位于荷兰， 只出于经济利益发起攻击， 而非政治相关。 ・ 提供StealBit（数据窃取器） ， 该窃取器提供绕过网络防护策略的功能， 号称能够快速窃取数据。 ・ 提供不同版本的勒索病毒， 可以对计算机网络进行二次加密。 ・ 号称全世界加密速度最快的勒索病毒， 4分半完成 100G数据加密。 ・ 提供自动散播、 自动枚举网络资源的能力， 快速完成全网加密。 能够通过打印机不停打印勒索信息。 ・ 能够清除各类日志、 备份， 避免被追查。 ・ 支持Windows 、Linux、Mac等 系 统 ，并 可 在 NAS、KVM等各类平台或设备上运行。同时可以加密大多数版本 的ESXi（4.0除外） ・ 号称不允许加密关键基础设施或加密可能导致死亡的医疗数据， 但可以实施数据窃取。02 Lockbit 勒索软件分析报告03 P.最初成型 Lockbit 的幕后组织所开发的这款勒索软件最初是从 REvil和Maze等其它勒索软件学习经验。因此在 2019年 10月一经发布便起点颇高， 并一举将勒索软件攻击提高到一个新水平。 但在 彼时，勒索软件 都处在一 个 野蛮发 展的 阶段，虽 然有“百家争鸣” 之 势 但 整体上并不成 章 法，各家 族也都 在试 探和 摸索更加行之有效的获利方式。故此 Lockbit 虽 然 有 较 高 的 技 术 水 平 ，但 传 播 也 相 对 较 为 平 稳 ，并 未 出 现 大 规 模 爆 发 。 甚至在 2020年末开始出现了逐步淡出网络的势头。 重整旗鼓 直到2021年7月中旬， Lockbit 组织在消失了 6个 月 后 宣 布 版 本 升 级 ，正 式 更 新 为 Lockbit2.0 版本。 而Lockbit 团伙在该版本更新后， 对外宣称 ： ・ 全世界加密最快的的勒索软件， 并贴出包括其之前版本的加密测试速度对比图。 ・ 窃取速度快， 20分钟可窃取 100GB 数据。 ・ 具备在域控内自动传播能力。 以上对外宣传的内容显然并不是为了向受害用户自夸，而是在向其真正的消费者――订阅 RaaS的攻击者们展示自身 强大的技术实力和变现能力。也正是在这一时期， Lockbit 正式开始以 RaaS的模式进行运营，且这一手段一直被 延续至今。而 RaaS运营模式的开启也正式将 Lockbit 的传播力及影响力推到了一个新的高度。 Lockbit 演化与 RaaS模式 03Lockbit 勒索软件分析报告04 P.强势再临 至2022年6月，Lockbit 发布了其 3.0版本。通过代码分析， 研究人员发现这一最新版本借鉴了 BlackMatter 勒 索 软 件 的 一 些 特 性 ，因 此 该 版 本 又 被 称 为 LockBit Black 。 而新版本发布后， 该团伙在其官网发布公告称将引入漏洞赏金计划――任何安全研究员可向该家族提供漏洞报告以换 取1000至100万美元的奖金。此外，本次更新还引入 Zcash支付方式。和比特币不同， Zcash币更为隐蔽也更 难被追踪。 在2022年8月，Lockbit 再次宣布采用 “三重勒索”模式进行运营――除已有的加密文件和窃取数据之外，又将 DDoS加入其勒索手段中。 RaaS运营模式 由此可见， Lockbit 的 成 功 除 了 其 自 身 强 大 的 技 术 实 力 之 外 ，与 RaaS的运营模式也有莫大的关联。 而所谓的 RaaS， 即是Ransom as a Service 的 缩 写 ，其 含 义 为“ 勒 索 软 件 及 服 务 ”。 勒索软件使用 RaaS模式最早被发现是在 2017年。 彼时勒索软件已经不再是黑客单打独斗的产物， 而是演变为平台 化服务， 形成了一个相对完整的产业链条。 在勒索软件服务平台上， 其核心技术是已经直接打包封装好的。 众多分包黑 客可直接购买调用其服务来获取到一个完