LockBit勒索軟件附屬機(jī)構(gòu)正在通過(guò)將惡意軟件偽裝成版權(quán)聲明，讓受害者的設(shè)備感染病毒。

這些電子郵件的收件人會(huì)收到有關(guān)侵犯版權(quán)的警告，據(jù)稱他們?cè)谖唇?jīng)創(chuàng)作者許可的情況下使用了媒體文件。這些電子郵件要求收件人從他們的網(wǎng)站上刪除侵權(quán)內(nèi)容，否則他們將面臨法律訴訟。

韓國(guó)AhnLab的分析師發(fā)現(xiàn)這些電子郵件告訴收件人下載并打開(kāi)附件以查看侵權(quán)內(nèi)容。

在針對(duì)韓國(guó)的攻擊活動(dòng)中使用的網(wǎng)絡(luò)釣魚電子郵件

附件是一個(gè)受密碼保護(hù)的ZIP存檔，其中包含一個(gè)壓縮文件，該文件又具有偽裝成PDF文檔的可執(zhí)行文件，但實(shí)際上是NSIS安裝程序。這種壓縮包和密碼保護(hù)是為了逃避電子郵件安全工具的檢測(cè)。

如果受害者打開(kāi)所謂的“PDF”以了解哪些圖像被非法使用，惡意軟件將使用LockBit 2.0勒索軟件加載和加密設(shè)備。

版權(quán)聲明和惡意軟件

雖然侵犯版權(quán)聲明的使用很有趣，但它對(duì)LockBit成員來(lái)說(shuō)既不新穎也不專屬，因?yàn)樵S多惡意軟件分發(fā)活動(dòng)都使用相同的誘餌。

BleepingComputer最近收到了大量此類電子郵件，經(jīng)過(guò)進(jìn)一步分析發(fā)現(xiàn)，這些電子郵件正在分發(fā)BazarLoader或Bumblebee惡意軟件加載程序。

使用侵犯版權(quán)的釣魚郵件誘餌推送惡意軟件

Bumblebee用于傳遞包括勒索軟件在內(nèi)的第二階段有效載荷，因此在您的計(jì)算機(jī)上打開(kāi)其中一個(gè)文件可能會(huì)導(dǎo)致快速且災(zāi)難性的攻擊。

版權(quán)聲明如果不是直截了當(dāng)?shù)模且竽蜷_(kāi)附件以查看違規(guī)詳細(xì)信息，那么它很可能不是真的。

LockBit 2.0占領(lǐng)頭部

根據(jù)NCC集團(tuán)發(fā)布的5月威脅報(bào)告，當(dāng)月共報(bào)告236起勒索軟件攻擊，LockBit 2.0占40%。

LockBit 3.0 贖金記錄

臭名昭著的勒索軟件操作僅在5月就記錄了高達(dá)95名受害者，而Conti、BlackBasta、Hive和BlackCat總共有65名受害者。

這延續(xù)了Intel471所看到的趨勢(shì)，該趨勢(shì)將LockBit 2.0置于2021年第四季度最多產(chǎn)的勒索軟件之首，并進(jìn)一步鞏固了該組織作為最廣泛的威脅之一的地位。

LockBit 3.0發(fā)布

在進(jìn)行了兩個(gè)月的beta測(cè)試后，LockBit發(fā)布了一個(gè)改進(jìn)的勒索軟件即服務(wù)(RaaS)，稱為L(zhǎng)ockBit 3.0，新版本已用于攻擊。

雖然尚不清楚對(duì)加密器進(jìn)行了哪些技術(shù)更改，但贖金票據(jù)不再命名為“Restore-My-Files.txt”，而是改為命名格式[id].README.txt，如下所示。

LockBit 3.0 贖金記錄

LockBit 3.0 漏洞賞金計(jì)劃

隨著LockBit 3.0的發(fā)布，該行動(dòng)引入了勒索軟件團(tuán)伙提供的第一個(gè)漏洞賞金計(jì)劃，要求安全研究人員提交漏洞報(bào)告以換取獎(jiǎng)勵(lì)。

“我們邀請(qǐng)地球上所有安全研究人員、道德和不道德的黑客參與我們的漏洞賞金計(jì)劃。報(bào)酬金額從1000美元到100萬(wàn)美元不等，”LockBit 3.0漏洞賞金頁(yè)面上寫道。

LockBit 3.0漏洞賞金計(jì)劃

此外，LockBit不僅為漏洞獎(jiǎng)勵(lì)提供賞金，還為改進(jìn)勒索軟件和對(duì)聯(lián)盟項(xiàng)目經(jīng)理進(jìn)行人肉搜索的“絕妙想法”提供賞金。他們4月曾在XSS黑客論壇上提供100萬(wàn)美元的獎(jiǎng)勵(lì)，用于識(shí)別被稱為L(zhǎng)ockBitSupp的聯(lián)盟經(jīng)理。

LockBitSupp向任何識(shí)別他們的人提供100萬(wàn)美元的賞金

即將推出的ZCash付款方式

當(dāng)打開(kāi)LockBit 3.0協(xié)商和數(shù)據(jù)泄露站點(diǎn)的Tor站點(diǎn)時(shí)，訪問(wèn)者會(huì)看到一個(gè)動(dòng)畫徽標(biāo)，其周圍有各種加密貨幣圖標(biāo)。

此動(dòng)畫中顯示的加密貨幣圖標(biāo)是門羅幣和比特幣，也包括稱為Zcash的隱私幣。

LockBit 3.0 網(wǎng)站上的新加密貨幣動(dòng)畫

加密貨幣追蹤公司和執(zhí)法部門的查獲一再表明，比特幣是可以追蹤的，雖然門羅幣是一種隱私幣，但絕大多數(shù)美國(guó)加密貨幣交易所都不出售它。

Zcash也是一種隱私幣，更難追蹤。它目前在美國(guó)最受歡迎的加密貨幣交易所Coinbase上出售，使受害者更容易購(gòu)買以支付贖金。

但是，如果勒索軟件轉(zhuǎn)而接受這種代幣的付款，它可能會(huì)迫于政府壓力從美國(guó)交易所中移除。

LockBit出售受害者的被盜數(shù)據(jù)？

LeMagIT的Valery Marchive發(fā)現(xiàn)LockBit 3.0正在利用一種新的勒索模型，允許攻擊者購(gòu)買在攻擊期間被盜的數(shù)據(jù)。

新的LockBit 3.0數(shù)據(jù)泄露網(wǎng)站使用的其中一個(gè)JavaScript文件顯示了一個(gè)新的HTML模式對(duì)話框，允許人們購(gòu)買網(wǎng)站上泄露的數(shù)據(jù)。

正如下圖所示，它將提供購(gòu)買數(shù)據(jù)并通過(guò)Torrent或直接在網(wǎng)站上下載數(shù)據(jù)的能力。可用選項(xiàng)可以根據(jù)被盜數(shù)據(jù)的大小來(lái)確定，Torrent用于大數(shù)據(jù)轉(zhuǎn)儲(chǔ)和直接下載少量數(shù)據(jù)。

顯示新數(shù)據(jù)勒索方法的 JavaScript 源代碼

由于LockBit 3.0數(shù)據(jù)泄露站點(diǎn)目前不包含任何受害者，因此尚不清楚這種新的勒索策略將如何運(yùn)作，甚至不知是否已啟用。

LockBit是最活躍的勒索軟件運(yùn)營(yíng)商之一，其面向公眾的運(yùn)營(yíng)商積極與其他攻擊者和網(wǎng)絡(luò)安全社區(qū)互動(dòng)。由于其不斷采用新的策略、技術(shù)和支付方式，安全和網(wǎng)絡(luò)專業(yè)人員必須及時(shí)了解最新進(jìn)展。

塞訊安全實(shí)驗(yàn)室全天候?yàn)榭蛻羰占ヂ?lián)網(wǎng)中最新的威脅情報(bào)，并快速、大規(guī)模地模擬勒索軟件部署之前的入侵，在確保安全的前提下，既能夠模擬勒索軟件的傳輸，也能夠模擬勒索軟件的執(zhí)行，幫助您檢驗(yàn)防御體系是否能對(duì)這些攻擊手段產(chǎn)生正確的響應(yīng)。