全球多家大公司中招！近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

臭名昭著的LOCKBIT 2.0勒索软件组织在过去几个月非常活跃，与该勒索软件相关联的威胁参与者 (TA) 使用勒索软件即服务 (RaaS) 业务模型。LOCKBIT 2.0开发人员根据其附属机构的需求定制勒索软件变体，他们还提供各种面板和攻击统计数据，为其附属机构提供受害者管理功能。

我们近期报道了：全球财富500强咨询公司埃森哲遭遇LOCKBIT 2.0勒索攻击，昨天我们还发现了LOCKBIT 2.0张贴了中国领先的软件和信服技术服务公司软通动力疑似被勒索条目，目前截止发稿前倒计时即将结束，不排除LOCKBIT 2.0团队即将放出被盗数据。

2021第一季度LOCKBIT 2.0排名勒索第三名

该恶意软件使用双重勒索技术迫使受害者支付赎金。通过这种技术，攻击者可以窃取受害者的数据，然后他们继续加密受害者系统上的数据。数据加密之后是要求赎金以换取解密器。如果受害者拒绝或无法支付赎金，他们就会威胁泄露数据。该勒索软件以前称为ABCD勒索软件，因为用于加密文件的文件扩展名为 .abcd，现在这个勒索软件使用的扩展名是 .lockbit。

图1显示了在TOR网络中托管博客的LOCKBIT 2.0勒索软件团伙。他们特别使用此博客来分享受害者列表和攻击者从受影响系统中窃取的样本数据的屏幕截图。

图1：LOCKBIT 2.0博客显示受害者公司列表

与其他最近出现的RaaS团伙一样，LOCKBIT 2.0也有一个联盟计划来吸引潜在的联盟。图2显示了联盟计划页面。

图2：LOCKBIT 2.0伙伴计划

与其竞争对手RaaS团伙相比，LockBit正试图将自己定位为最快的加密器。他们列出了对100GB、10TB等数据集进行加密所花费的时间。图3显示了 LOCKBIT 2.0 与其他勒索软件团伙的比较。

图3：LOCKBIT 2.0与其他勒索软件团伙的比较

此外，这个勒索软件团伙在以前属于苏联的国家/地区不起作用。该团伙还使用StealBIT、Metasploit Framework和Cobalt Strike等工具。

StealBIT是该团伙用于数据泄露的信息窃取程序。Metasploit Framework和Cobalt Strike 是渗透测试工具，用于模拟对复杂网络的针对性攻击。

图4：LOCKBIT 2.0共享的其他附属详细信息

技术分析

我们对勒索软件的静态分析表明，该恶意软件文件是在2021-07-26 13:04:01编译的Windows x86架构图形用户界面 (GUI) 可执行文件 ，如图5所示。

图5：关于LOCKBIT 2.0 Ransomware的静态信息

我们还发现恶意软件只使用了几个库，如图 6 所示。

图6：勒索软件使用的库

此外，勒索软件导入表中只有少数应用程序编程接口 (API)，如图 7 所示。

图7：导入表API列表

图8显示勒索软件对用户文档文件进行了加密，并为其附加了 .lockbit 扩展名，同时还更改了所有加密文件的图标。此外，勒索软件还会在多个文件夹中放置勒索信。

图8：勒索软件加密后的加密文件和勒索信

图9显示了勒索信的内容，其中指示受害者如何联系勒索软件团伙。

图9：赎金记录的内容

勒索软件还会篡改桌面背景壁纸，显示额外的勒索软件帮派信息，如下图。

图10：LOCKBIT 2.0篡改桌面壁纸

为了进一步了解勒索软件，我们检查了恶意软件中存在哪些字符串符号。

图11显示了恶意软件中存在的初始字符串的详细信息。这些字符串表明恶意软件可以使用轻量级目录访问协议 (LDAP) 查询 Active Directory 域中的连接系统。在查询字符串中，CN代表Common Name，OU代表Organization Unit，DC代表Domain Component。该信息可用于发现其他链接的网络和系统。

图11：为Microsoft Active Directory设置LDAP参数

如图12所示，勒索软件可以使用PowerShell命令查询DC以获取计算机列表。一旦收到列表，恶意软件就可以在列出的系统上远程调用GPUpdate命令。

图12：用于搜索网络中计算机的PowerShell命令

此外，勒索软件还会检查其他挂载的硬盘驱动器、网络共享驱动器、VM共享文件夹，并使用taskkill.exe删除正在运行的进程 ，如图12所示。

图13描述了勒索软件可以将活动目录环境中的策略更新推送到其他连接的系统。为了逃避检测，勒索软件还可以在正在运行的系统和远程系统上禁用Windows Defender。

图13：勒索软件更改了Windows Defender策略

在运行勒索软件时，我们观察到它会将自身注入dllhost.exe， 如图14所示。

图14：勒索软件感染dllhost.exe

勒索软件将其执行文件夹添加到系统变量的路径中，如图15所示。

图15：恶意软件在系统路径中添加了其当前工作目录

图16显示了勒索软件正在寻找各种正在运行的服务，例如备份服务、数据库相关应用程序以及图15中所示的其他应用程序。如果发现系统中正在运行任何服务，勒索软件就会将其杀死。勒索软件使用OpenSCManager和OpenServiceA， 如图16所示。

图16：勒索软件搜索服务

下表显示了勒索软件搜索的其他服务列表：

勒索软件创建了一个共享文件夹，供VMWare传播到其他系统，如图17所示。

图17：勒索软件创建VMWare共享文件夹并删除示例

LOCKBIT 2.0的加密操作与我们在其他勒索软件组中观察到的类似。操作流程如下所示。

图18：常见的加密操作

结论

LOCKBIT 2.0是一种高度复杂的勒索软件形式，它使用各种最先进的技术来执行勒索软件操作。

当前和潜在的LOCKBIT 2.0受害者跨越多个领域，从 IT、服务到银行。我们的研究表明，该组织的附属机构会将该勒索软件投放到已经受到攻击的网络中。

我们的建议

我们列出了一些基本的网络安全最佳实践，这些实践创建了针对攻击者的第一道控制线。我们建议我们的读者遵循以下建议：

尽可能使用强密码并强制执行多因素身份验证。

尽可能以务实的方式在您的计算机、移动设备和其他连接的设备上打开自动软件更新功能。?

在您连接的设备上使用知名的防病毒和互联网安全软件包。? ?

避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。

执行定期备份实践并将这些备份保持离线或在单独的网络中。

关注我，带你了解最新网络安全动态

来源：安全鹰