LockBit 勒索軟體：您需要了解的防範措施

在種類繁多的勒索軟體生態中,LockBit 依然是企業面臨的首要威脅。2023 年上半年,共有 LockBit 的成功攻擊次數比其他任何勒索軟體家族都多,與 BlackCat 以及 Clop 分別位居第二和第三名。

2023 年全年,LockBit 持續成功入侵全球頂尖企業及政府機構。例如在 10 月,LockBit 集團 承擔責任 針對加拿大政府發生的一起個人資料外洩事件,指出有 1.5 太位元的存檔文件遭竊,其中包含政府官員的個人資料。其他知名受害者還包括 波音,該 中國工商銀行美國分公司 (中國最大的銀行),以及 英國國防部.

使用 NAKIVO 拒絕支付贖金

利用備份在遭受勒索軟體攻擊後快速還原資料。提供多種還原選項、不可變動的本地與雲端儲存、自動還原特點等。

探索解決方案

什麼是 LockBit 勒索軟體？

LockBit 是一種由同名犯罪集團開發的雙重勒索軟體,其 最早可追溯至 2019 年的 LockBit 攻擊. LockBit 集團採用"勒索軟體即服務"(RaaS)模式,向合作夥伴開發並銷售此勒索軟體,並以此換取所收贖金的一部分利潤。被招募的合作夥伴則利用此勒索軟體發動攻擊。由於 LockBit 還會竊取資料,因此被視為一種雙重勒索型勒索軟體,而且 網路攻擊者隨後威脅要將這些資料上傳至洩密網站.

LockBit 勒索軟體的演變

自 LockBit 勒索軟體首次被確認為 ABCD 勒索軟體隨著演進而變得愈發精巧。LockBit 持續進行改良,以滲透受保護的網路並隱匿行蹤。攻擊者會積極調查安全系統以尋找漏洞,並運用社會工程學及其他技術來確保攻擊成功。

讓我們來看看迄今為止的各版本演變:

ABCD

ABCD 這是 LockBit 集團所開發的勒索軟體初始版本,最早於 2019 年 9 月被偵測到。其名稱反映了 .abcd 加密後附加至檔案的副檔名。此版本的勒索軟體還會產生一個名為 Restore-My-Files.txt 在每個包含加密資料的資料夾中。該檔案說明了贖金支付及資料還原的程序。

LockBit

LockBit 1.0 或簡稱 LockBit 是此勒索軟體的第二個版本,新增了 .LockBit 在加密檔案的副檔名後面加上 .abcd. 這次的版本與 ABCD 在設計和實作方面完全相同。後端程式碼僅進行了少數幾處修改。

LockBit 2.0

LockBit 2.0 最早於 2021 年 6 月被發現活躍於網路,經過修訂與更新後,已演變為更嚴重的威脅。此版本利用進階加密標準 (AES) 及橢圓曲線加密 (ECC) 演算法來加密資料。 攻擊者利用多數組織中 IT 團隊常用的工具來執行惡意程式碼,並透過系統進行傳播。在 2.0 版本中,駭客使用了 Windows 管理儀表板 (WMI) 指令、SMB 協定連線以及 PowerShell 工具。

LockBit 2.0 可在離線狀態下運作,感染後無論機器是否連線至網路,加密過程都會持續進行。此外,LockBit 2.0 還提供一個可透過 TOR 瀏覽器,讓網路犯罪分子能夠追蹤他們的攻擊行動。

LockBit 3.0,又名 LockBit Black

LockBit Black 而 LockBit 3.0 則是 2022 年 6 月發布的下一版本。此版本比前幾版更具隱蔽性且模組化程度更高,新增了可在有效載荷編譯與執行過程中使用的可自訂選項。其行為 LockBit Black 執行後可透過額外的參數進行進一步修改。此外,此版本整合了其他勒索軟體的特點,例如 Blackcat 以及 Blackmatter.

LockBit 3.0 的合作夥伴必須提供正確的密碼才能執行此勒索軟體,也就是說,必須使用加密金鑰來解碼可執行檔。這種保護層級使 LockBit 3.0 能夠欺騙惡意軟體掃描程式,使其無法分析程式碼。

由於可執行檔的加密組件會不斷變化,因此採用基於簽名的偵測原理的防毒及反惡意軟體解決方案,很難偵測到 LockBit 3.0 的可執行組件。 該元件在進行加密的同時,會生成一個唯一的雜湊值。當攻擊者輸入正確的密碼(即解密金鑰正確)後,LockBit 3.0 的主要內容便會被解密。隨後,程式碼將被解密並解壓縮,從而使勒索軟體得以進一步執行。

LockBit Green

LockBit Green, 於 2023 年 1 月發布,是第五個專門針對雲端服務進行修改的 LockBit 版本。此版本在外觀及特點上皆與前幾代有所不同。然而, LockBit Green 其中包含部分曾屬於另一種鎖櫃勒索軟體的程式碼 Conti,目前該功能尚未啟用。

LockBit 勒索軟體的檔案副檔名

在成功入侵並加密資料後,LockBit 會將原始檔案的副檔名更改為以下其中一種:

• .abcd (上一代 ABCD 勒索軟體)
• .lockbit (LockBit 與 LockBit 2.0)
• 一串隨機的 9 個字元(LockBit 3.0 和 LockBit Green)

LockBit 勒索軟體攻擊的主要階段

LockBit 勒索軟體攻擊通常分為三個階段:

1. 《Breach》。 攻擊者透過發送釣魚email、冒用高階主管身分以取得管理員憑證、對內部節點和網路發動暴力破解攻擊,以及其他手段,來繞過組織的安全防線。此外,針對遠端桌面協定(RDP)及對外公開應用程式的漏洞利用攻擊也正被廣泛使用。

   一旦攻擊者將 LockBit 植入組織的網路中,便完成了準備階段,藉此擴大未來勒索軟體攻擊的觸及範圍與造成的損害。對於網路架構簡單且未進行分段的組織而言,其對應安全漏洞的反應時間將大幅縮短。

2. 滲透。 LockBit 程式碼開始參與攻擊。從此之後,該腳本將完成所有操作,並利用權限提升技術取得所需的存取權限。接著,此勒索軟體會停用內部安全防火牆,以及惡意軟體偵測與通報解決方案,藉此為破壞行動創造更多機會,並避開資安團隊的偵測。

   此勒索軟體的主要目標是盡可能感染更多資料,藉此擴大損害範圍,並阻礙受害者自行還原資料。

   在此階段,Lockbit 勒索軟體可執行以下操作以取得所需的存取權限:

   • 終止服務與程序
   • 命令的執行
   • 刪除日誌檔案

   LockBit 3.0 可透過利用元件物件模型(COM)以提升的權限執行惡意程式碼,從而繞過 Windows 使用者帳戶控制(UAC),例如:

   %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

   Lockbit 透過 Windows 管理儀表板 (WMI) 刪除影子副本。首先,此勒索軟體會查詢並識別影子副本:

   select * from Win32_ShadowCopy

   接著,勒索軟體會刪除快照,並 DeleteInstance.

   LockBit 勒索軟體會終止以下名稱的服務: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD 以及 GxCIMgr.

   以下程序已被終止: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad 以及 notepad.

   終止程序後,這些程序先前開啟的檔案即可被修改或刪除。

3. 部署。 當攻擊者認為某個組織的基礎架構已足夠脆弱,足以開始執行加密時,此階段便會啟動。此時,具備所需權限的受感染系統節點會下令網路中的其他工作負載下載並執行惡意軟體程式碼。

   LockBit 攻擊者可利用 StealBit 在資料被加密之前將有價值的資料竊取並外洩。資料外洩的風險是 LockBit 勒索軟體攻擊的另一項特徵。

   隨後,受影響節點上的資料會被加密,而 LockBit 會添加一個 .txt 將包含付款指示的檔案放置於每個資料夾中。其典型名稱格式為 .txt 檔案是 RansomwareID.README.txt.

LockBit 最具威脅性的特點之一是其自我傳播能力,這不僅簡化了攻擊者的工作流程,更大幅加速了整體攻擊進程。駭客在取得組織環境的管理員權限後,只需啟動勒索軟體,其程式碼便會自動將 LockBit 可執行檔傳送至其他可觸及的主機。

只有在遵守駭客的要求並從 LockBit 開發者處取得專用工具後,才能解密受加密的檔案。如前所述,另一項配合的要求是為了防止敏感或個人資料被公開分享。

LockBit 感染的徵兆

Lockbit 勒索軟體會修改登錄檔值,包括負責編輯和更新群組原則的值。LockBit 進行變更後,用於更新群組原則的指令為:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

註冊表中顯示 Lockbit 感染的一些跡象可能包括:

• 勒索軟體圖示:

  HKCR.

  HKCRDefaultIcon

  與該值相關聯 C:ProgramData.ico

• 勒索軟體桌面壁紙:

  HKCUControlPanelDesktopWallPaper

  其值為 C:ProgramData.bmp

• 啟用 Windows 自動登入:

  SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon 填入適當的數值

  AutoAdminLogon 1

  DefaultUserName

  DefaultDomainName

請記住勒索軟體部署檔案的路徑:

• ADMIN$TempLockBit3.0_Filename.exe
• %SystemRoot%TempLockBit3.0_Filename.exe
• Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (在網域控制器上)

如何防範 LockBit 威脅以保護資料

保護您的系統免受勒索軟體侵害 而惡意軟體一般而言涉及兩個方面:

1. 防疫措施,也就是試圖從源頭上防止感染
2. 資料保護策略:在發生事故後,以最小的資料損失和停機時間恢復運作——且無需支付贖金

讓我們來詳細探討這些內容。

安全措施

• 定期更新作業系統、軟體及韌體 因為過時的元件可能存在漏洞,駭客可能會利用這些漏洞將勒索軟體植入您的系統基礎架構中。開發人員通常會迅速修補這些已知的後門與安全漏洞,以確保客戶的安全。
• 實施網路分段 至 設定貴組織的網路 劃分為獨立的區隔。首次掃描此分段網路的入侵者無法得知哪些資料位於哪個區段。因此,駭客在進行偵察與有效入侵時,可能需要耗費更多時間與精力。雖然 LockBit 似乎並非如此,但部分使用其他版本勒索軟體的網路犯罪分子,可能會選擇不攻擊具備安全分段網路的組織。
• 停用未使用的埠 在您的網路中。開放的埠僅僅是額外的漏洞,惡意攻擊者可藉此未經授權地存取內部節點並發動攻擊。
• 監控網路以偵測行為異常 透過採用針對網路與節點的主動監控解決方案,可大幅提升您在任何時刻的狀況感知能力。除了能進行全面性測試,並在網路頻寬瓶頸出現時立即消除外,主動監控還能協助快速偵測漏洞。迅速的反應時間有助於減輕攻擊造成的影響,甚至能防止惡意軟體擴散。
• 使用具備即時威脅偵測功能的防毒軟體。 儘管與監控解決方案有許多共通之處,防毒解決方案仍能為您提供裝置監控功能,除了網路監控之外,還涵蓋伺服器和工作站。

  LockBit 確實狡猾且能欺騙惡意軟體掃描工具,但駭客仍可使用其他隱蔽性較低的工具來策劃並支援他們的攻擊。若組織內部環境發生異常,運作中的即時防毒軟體將會立即通知您。

• 整合防釣魚解決方案 以防範 LockBit 聯屬成員利用社會工程學技巧來破壞組織的安全。停用 email 中的超連結,並針對來自組織外部的 email 添加警告橫幅,有助於降低因團隊成員疏忽而點擊釣魚連結的風險。

資料保護策略

鑑於 LockBit 能夠在不被察覺的情況下潛入系統並欺騙威脅監控工具,您必須建立第二道防線,以確保在勒索軟體攻擊實際發生後能夠進行還原。您的事件應變計畫應包含資料備份與災難還原策略。

制定資料保護計畫。

• 識別關鍵的虛擬機器和應用程式。 為了避免資料遺失、維持系統正常運作,並確保即使在遭受勒索軟體攻擊後仍能符合規範,您應透過備份與複寫機制來保護您的系統。資料保護策略的第一步,是盤點業務運作所需的關鍵資料與系統 業務連續性. 下一步是評估每台機器的重要性,以便您據此決定備份頻率、保留政策及還原目標。
• 請定義企業的 RPO 和 RTO。 只要清楚了解關鍵資料的儲存位置,您就能針對每種生產系統設定適當的還原點目標 (RPO) 和還原時間目標 (RTO)。 RPO 與 RTO 請參考貴公司所能承受的最大資料損失量及停機時間。
• 制定資料保護測試時程表。 定期進行備份並 DR 策略測試 並確保每位團隊成員都清楚自己在資料還原流程中的職責。最糟糕的情況莫過於在原始資料已經遺失或遭加密後,才發現資料無法還原。

請遵循"3-2-1-1"備份法則。

• 請盡可能多地備份資料。 請根據機器或應用程式的關鍵程度,決定需建立的備份數量及保留政策。為確保最佳的資料還原機會,請採用"3-2-1"備份策略:隨時保持至少三(3)份資料副本,包含主資料及兩份備份複製。其次,將資料儲存於兩(2)種不同類型的儲存媒體上。 第三,將其中一份(1)副本存放於異地,以確保在生產環境發生災難時仍能進行還原。
• 保護備份免受勒索軟體的侵害。 攻擊者對備份資料的威脅,與其對生產環境主機的威脅同樣嚴重。正因如此,如今的備份規範已擴展至包含一份額外的不可變副本。不可變性採用"寫入一次、多次讀取"的模型,以保護資料免於損毀、加密及刪除。這意味著新的勒索軟體攻擊無法篡改這些資料,且若生產資料無法存取時,可利用這份不可變副本進行還原。

使用 NAKIVO 的資料保護解決方案

透過專用的資料保護解決方案,您可以自動化資料保護流程,避免資源過度消耗,並防止資料保留出現缺口。 NAKIVO Backup & Replication 這是一套全面性的資料保護解決方案,支援虛擬、實體、雲、SaaS 工作負載以及混合式基礎架構。 透過部署 NAKIVO 的解決方案,無論您使用的是 VMware vSphere、Microsoft Hyper-V、Windows、Linux、Microsoft 365 等何種平台,皆可透過網頁介面對您的資料保護基礎架構擁有完全的控制權與可視性。

此解決方案還提供實踐"3-2-1-1 法則"所需的所有特點,包括資料不可變性與備份資料分層:

• 備份不可變性:備份資料可儲存至雲端(Amazon S3、Wasabi、Backblaze B2 及其他相容 S3 的平台),或基於 Linux 的本地儲存裝置(包括 NAS設備)
• 透過工作關連實現備份複製自動化,讓您能透過建立自動化工作流程,將儲存方案多元化,包含異地備份與磁帶備份
• 用於防止未經授權存取的安全特點,包括雙因素驗證 (2FA) 及基於角色的存取控制 (RBAC),協助您落實最小權限原則 (PoLP),並根據團隊成員在組織中的職責來限制其存取權限
• 整合的災難復原特點,例如 即時複寫 以及 站點還原 可協助您達成 1 秒的 RPO 以及最嚴格的 RTO
• 完整的細粒度還原選項,讓您能夠在最短時間內靈活還原您所需的資料

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

免費試用