LockBit勒索软件家族最新动态

2024-04-29    来源:360安全卫士
近期LockBit勒索软件比较活跃,360捕获到了该勒索软件的最新版本LockBit4.0样本。

LockBit近期事件

联合行动对LockBit组织的冲击

2024年2月19日,美国、英国、法国等11个国家联手发起了代号为“Cronos”的联合执法行动,旨在打击LockBit勒索软件组织。这次行动取得了巨大的成功,行动的主要成果包括:

l  识别并移除了超过1.4万个恶意账户;

l  逮捕了两名LockBit附属机构成员;

l  获得1000多个解密器;

l  查获34台LockBit团伙的服务器,包含源代码、被攻击受害者详情、勒索赎金、被盗数据、聊天记录等内部信息;

l  占领其专用数据泄露站点;

LockBit运营者对执法行动的回应

LockBit的运营者在2024年2月24日对此次联合执法行动做出了回应:

l  他是该行业唯一一个拥有多个服务器的去中心化基础设施所有者,这使得他能够迅速定位攻击发生的源头。在遭受攻击时,他也曾收到警告,但由于过度自信和对娱乐的沉迷,最终导致了攻击的成功。

l  拒绝承认与被捕的两名犯罪分子及其附属机构直接相关,并指出知道其中一名被捕人员的真实姓名,与发布的被捕人员信息不符合。

l  警方获取的解密器仅占解密器总数量的2.5%,大部分解密器是被保护的。

l  未来想要加入该附属机构的成员需要在论坛上具备一定的声誉,或存入2个比特币,存款的增加完全是因为此次执法行动给LockBit打了一个漂亮的广告:LockBitSupp和附属公司已通过LockBit勒索加密活动赚了数亿美元。

LockBit运营者对FBI的执法行动提出了一种猜测,认为这是为了防止唐纳德·特朗普的法庭案件曝光,因为这些案件可能会影响即将到来的美国大选。他们指出,如果不是因为选举的背景,联邦调查局可能会继续秘密监视他们的服务器以提出刑事指控。因此,他们计划更频繁、更广泛地攻击政府部门,此类攻击能暴露该团伙基础设置存在的漏洞并迫使执法部门展示其能力。LockBit运营者表示,此次攻击并未对其造成任何打击,反而激起了战斗力,后续将不再沉迷于娱乐,将投入更多的精力到勒索活动中。

LockBit勒索活动的恢复

在执法部门占领LockBit数据泄露网站后,LockBit运营者很快创建了新的专用数据泄露网站(DSL)。从2024年2月19日后,LockBit组织又在DSL发布了106个受害组织/企业的数据。

图1. LockBit泄密站点 

在执法行动事件之前,LockBit就被监控到有在秘密开发一个名为LockBit NG Dev(NG for Next Generation)的恶意软件(LockBit4.0),此次4.0版本使用.NET对LockBit的代码进行了重构。但360安全大脑也监测到了使用C++生成的4.0版本。

图2. LockBit勒索软件家族版本更迭路径 

LockBit2.0版本的源码曾被泄露,但被其他勒索软件家族利用的并不多,比较出名的有TommyLeaks以及SchoolBoys勒索软件家族。但在LockBit3.0的加密程序构建器泄露后,因其出色的加密能力,以及构建器的高可定制化等,出现了大量该勒索软件家族的衍生品。例如本月新增的自称为Balloon的勒索软件以及众多其它变种(目前国内遭受勒索加密的情况显示,受害者的文件出现了随机后缀时,经过识别后确认大多数是LockBit的变种。这些变种要么是泄露的LockBit3.0版本,要么是最新的LockBit 4.0版本)。

一场闹剧

近期360安全大脑捕获到一个LockBit3.0的变种,其勒索提示信息用中文繁体提示受害者向指定的比特币钱包地址汇入0.02BTC以解密文件。

图3. LockBit 3.0勒索提示信息

在赎金谈判中,黑客声称即将步入婚姻殿堂,将不再从事违法活动,并免费提供解密程序。然而,经分析测试,附件中的解密器和加密程序并非基于同一对私钥和公钥生成的,无法成功解密被勒索加密的文件。这是因为,LockBit3.0泄露的解密器是基于生成勒索所用的公钥匹配的私钥生成的,如果不匹配,就无法用于该勒索的解密!

图4. 泄露出的LockBit 3.0解密器 

这一情况的出现,主要是因为在LockBit3.0的生成器遭泄露后出现了大量该组织外人员利用生成器创建自己定制的“LockBit3.0”勒索软件。但由于各自为战的黑客们互不隶属,也并不属于同一组织,其所使用的密钥自然也都是相互无关。而这位声称自己结婚并提供解密程序的黑客很有可能便是这种“编外”人员或组织的一分子,他们所提供的解密器的揭密能力自然也是“非常有限”的。同时,这种极富戏剧性的邮件内容也是一种策略,可以显著降低受害用户的戒备心理,并增加他们与其沟通联系的可能性。通过建立联系,黑客可以进一步了解受害用户的支付能力和意愿,从而索取高额的赎金。

因此,建议受害用户保持警惕,不要轻易相信黑客的承诺。在与黑客沟通时,应谨慎选择沟通方式,并避免透露敏感信息。同时,建议受害用户尽快寻求专业人士的帮助,以最大程度地降低损失。

图5. 攻击者以结婚为名主动提供解密器的邮件 

当受害者提出该解密器无法解密文件时,黑客表示想要解密,必须向其支付赎金。

图6. 攻击者继续索要赎金

LockBit4.0样本分析

基本情况

名字

LockBit 4.0

威胁类型

勒索软件, 加密病毒,

加密文件扩展名

.xa1Xx3AXs

勒索信

xa1Xx3AXs.README.txt

赎金金额

1000 美元的比特币加密货币

钱包地址

328N9mKT6xFe6uTvtpxeKSymgWCbbTGbK2

是否可解密

黑客邮箱

**********@proton.me

表1. LockBit 4.0样本基本信息 

获取到的LockBit4.0样本和之前分析的3.0样本本质上并没有太大的区别,其中一些配置存在些许变化:

图7. LockBit 4.0配置信息变化 

配置信息使用了APLib进行压缩,解压缩后包含RSA公钥、掩码等,还包括自定义Base64的编码数据:

RSA公钥为:

AQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAjY1Z56OlKFMAYvC8NjHhkHAFF3+QoaqUZKjr6nlS9UbQfcVIsbrkjfP1UFjhcKB1L8qgVNF1xsQDr+smftC4xlaZ3882jzv7WJ+ihBZjorKyBiByhF64bAQzd7/XHzcEGl0Uk6O0mCaI5S/SOh2ejkE9ExjVYI+QA/xO+/CpPcw==

图8. LockBit 4.0内置密钥字符串 

配置说明

我们对Lockbit 4.0的配置进行了解密,详细内容如下表所示:

配置字段

含义注释

encrypt_mode

auto

加密模式

encrypt_filename

FALSE

加密文件名

impersonation

TRUE

冒充

skip_hidden_folders

FALSE

跳过隐藏文件夹

language_check

FALSE

语言检查

local_disks

TRUE

本地磁盘

network_shares

TRUE

网络共享

kill_processes

TRUE

结束进程

kill_services

TRUE

结束服务

running_one

TRUE

单实例运行

print_note

TRUE

打印提示

set_wallpaper

TRUE

设置壁纸

set_icons

TRUE

设置图标

send_report

FALSE

发送报告

self_destruct

TRUE

自我销毁

kill_defender

TRUE

关闭杀软

wipe_freespace

FALSE

擦除空闲空间

psexec_netspread

FALSE

psexec 网络扩散

gpo_netspread

TRUE

gpo 网络扩散

gpo_ps_update

TRUE

gpo ps 更新

shutdown_system

FALSE

关闭系统

delete_eventlogs

TRUE

删除事件日志

delete_gpo_delay

1

删除 gpo 延迟

表2. LockBit4.0配置文件字段及对应含义 

除上述基本配置字段外,还有一些较为重要的配置信息所对应内容如下:

white_folders - 文件夹白名单

$recycle.bin; config.msi; $windows.~bt; $windows.~ws; windows; boot; system volume information; tor browser; windows.old; intel; msocache; perflogs; x64dbg; public; all users; default; microsoft;

white_files - 文件名白名单

autorun.inf; boot.ini; bootfont.bin; bootsect.bak; desktop.ini; iconcache.db; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; thumbs.db; GDIPFONTCACHEV1.DAT; d3d9caps.dat;

white_extens - 文件后缀白名单

386; adv; cab; cmd; com; cpl; cur; deskthemepack; diagcab; diagcfg; diagpkg; drv; exe ;hlp; icl; icns; ico; ics; idx; ldf; lnk; mod; mpa; msc; msp; msstyles; msu; nls; nomedia; ocx; prf; rom; scr; shs; spl; sys; theme; themepack; wpx;l ock; key; hta; pdb; search-ms;

white_hosts - hosts白名单

WS2019

kill_processes - 进程清理列表

sql; oracle; ocssd; dbsnmp; synctime; agntsvc; isqlplussvc; xfssvccon; mydesktopservice; ocautoupds; encsvc; firefox; tbirdconfig; mydesktopqos; ocomm; dbeng50; sqbcoreservice; excel; infopath; msaccess; mspub; onenote; outlook; powerpnt; steam; thebat; thunderbird; visio; winword; wordpad; notepad; calc; wuauclt; onedrive;

kill_services - 服务清理列表

vss; sql; svc$; memtas; mepocs; msexchange; sophos; veeam; backup; GxVss; GxBlr; GxFWD; GxCVD; GxCIMgr;

impers_accounts - 弱口令列表

ad.lab:Qwerty!; Administrator:123QWEqwe!@#; Admin2:P@ssw0rd; Administrator:P@ssw0rd; Administrator:Qwerty!; Administrator:123QWEqwe; Administrator:123QWEqweqwe;

最后,4.0版本给受害者留下的勒索信较此前的3.0版本也有所变化——将之前的暗网链接全部去除,并用Proton邮箱(采用了端到端加密技术)进行替代。推测这一做法的主要目的是为了让普通用户更容易与攻击者取得联系。

图9. LockBit4.0勒索信内容示例

图10. LockBit3.0勒索信内容示例