僵尸网络暗中助攻,LockBit勒索攻击风险升级
- 2026-01-09 17:12:46
事件概述
今年1月初,360反勒索服务集中接到数十例勒索攻击求助。经溯源分析确认,此次发起攻击的是Lockbit勒索软件变种,而攻击来源是国内流行多年的Phorpiex僵尸网络。攻击行为集中发生在凌晨3点左右以及20点之后这两个时段。
此次发起攻击的Lockbit勒索病毒,代码形式上与之前泄露的Lockbit代码比较接近,而之前运营Lockbit的组织早已更新了其代码,因此判定,本次传播的家族属于基于LockBit泄露代码自建的勒索软件变种,而该变种将自己命名为Aware。传播该勒索病毒的便是臭名昭著的Phorpiex 僵尸网络。该僵尸网络在国内有大批被感染计算机,尤其是没有正确安装安全软件的公共计算机。该僵尸网络通常会向用户计算机中植入挖矿木马,本次传播勒索病毒,使其危害进一步加大。这也给被其攻击的企事业单位的数据安全和系统稳定带来了多个维度的巨大安全威胁。历史上,Phorpiex 僵尸网络也曾多次与Lockbit勒索软件合作。
入侵与加密
360反勒索经过大量溯源分析确认,本次勒索攻击通过僵尸网络下发。而攻击则集中在未安装360终端安全产品或未开启相关防护的设备中。而已安装360客户端并正常开启安全防护功能的设备,均可有效防护勒索攻击。
而Aware勒索软件本身还根据运行参数来执行不同的加密方式,实现黑客攻击时能够根据被入侵设备的实际情况指定加密效率的最大化。
同样为了提高加密效率,勒索软件还会判断被加密的文件大小——仅对小于5MB的文件全部加密,而对更大的文件仅加密默认值为20%的头部数据。
完成全部加密工作后,Aware勒索软件会留下勒索信。在这封勒索信中留下的谈判网址则是一个洋葱网络中的暗网地址。
360安全人员假扮成受害者尝试与攻击者进行联系,对方索要价值2300美元的比特币作为解密赎金。
拦截查杀
360安全卫士客户端自带的“渗透痕迹记录”检测功能可以成功检出受攻击的系统中存在“感染僵尸网络”的痕迹。这也正是本次Aware勒索软件最为常见的入侵方式。
一些事后安装360终端安全产品的受害者,也在设备中检出了相关僵尸网络木马的活动,由于僵尸网络木马的内网传播性与平时静默集中爆发的危害特性,建议政企单位尽快集中排查。
IOCs
SHA1
b72e4d7591f207439134b68fb9064903c0ea844f
c95056c8682373d0512aea2ed72c18f79c854308
6d2185a644bb09d01fe35272c84f1739cfcfc28d
d82a76db31733b9bcb48287bd5449d10180870c8
暗网地址
ui2uleaiisccbtcooyi34cy5u3plpd5wraiza6wtibolshuf7tnzziid[.]onion
BTC地址
1N4mzsh8tc4unnmTQeNVPoeTrqRLry6XTk
