LockBit势头正盛!2.0占领头部,3.0发布漏洞赏金计划

根据NCC集团发布的5月威胁报告,当月共报告236起勒索软件攻击,LockBit 2.0占40%。
LockBit勒索软件附属机构正在通过将恶意软件伪装成版权声明,让受害者的设备感染病毒。
这些电子邮件的收件人会收到有关侵犯版权的警告,据称他们在未经创作者许可的情况下使用了媒体文件。这些电子邮件要求收件人从他们的网站上删除侵权内容,否则他们将面临法律诉讼。
韩国AhnLab的分析师发现这些电子邮件告诉收件人下载并打开附件以查看侵权内容。
                                                                            在针对韩国的攻击活动中使用的网络钓鱼电子邮件
附件是一个受密码保护的ZIP存档,其中包含一个压缩文件,该文件又具有伪装成PDF文档的可执行文件,但实际上是NSIS安装程序。这种压缩包和密码保护是为了逃避电子邮件安全工具的检测。
如果受害者打开所谓的“PDF”以了解哪些图像被非法使用,恶意软件将使用LockBit 2.0勒索软件加载和加密设备。

版权声明和恶意软件

虽然侵犯版权声明的使用很有趣,但它对LockBit成员来说既不新颖也不专属,因为许多恶意软件分发活动都使用相同的诱饵。
BleepingComputer最近收到了大量此类电子邮件,经过进一步分析发现,这些电子邮件正在分发BazarLoader或Bumblebee恶意软件加载程序。
                                                                                       使用侵犯版权的钓鱼邮件诱饵推送恶意软件
Bumblebee用于传递包括勒索软件在内的第二阶段有效载荷,因此在您的计算机上打开其中一个文件可能会导致快速且灾难性的攻击。
版权声明如果不是直截了当的,而是要求您打开附件以查看违规详细信息,那么它很可能不是真的。

LockBit 2.0占领头部

根据NCC集团发布的5月威胁报告,当月共报告236起勒索软件攻击,LockBit 2.0占40%
                                                                                           2022年5月每个勒索软件操作列出的受害者
臭名昭著的勒索软件操作仅在5月就记录了高达95名受害者,而Conti、BlackBasta、Hive和BlackCat总共有65名受害者。
这延续了Intel471所看到的趋势,该趋势将LockBit 2.0置于2021年第四季度最多产的勒索软件之首,并进一步巩固了该组织作为最广泛的威胁之一的地位。

LockBit 3.0发布

在进行了两个月的beta测试后,LockBit发布了一个改进的勒索软件即服务(RaaS),称为LockBit 3.0,新版本已用于攻击。
虽然尚不清楚对加密器进行了哪些技术更改,但赎金票据不再命名为“Restore-My-Files.txt”,而是改为命名格式[id].README.txt,如下所示。

LockBit 3.0 赎金记录

LockBit 3.0 漏洞赏金计划

随着LockBit 3.0的发布,该行动引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告以换取奖励。
“我们邀请地球上所有安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从1000美元到100万美元不等,”LockBit 3.0漏洞赏金页面上写道。

  LockBit 3.0漏洞赏金计划

此外,LockBit不仅为漏洞奖励提供赏金,还为改进勒索软件和对联盟项目经理进行人肉搜索的“绝妙想法”提供赏金。他们4月曾在XSS黑客论坛上提供100万美元的奖励,用于识别被称为LockBitSupp的联盟经理。

LockBitSupp向任何识别他们的人提供100万美元的赏金

即将推出的ZCash付款方式

当打开LockBit 3.0协商和数据泄露站点的Tor站点时,访问者会看到一个动画徽标,其周围有各种加密货币图标。
此动画中显示的加密货币图标是门罗币和比特币,也包括称为Zcash的隐私币。

LockBit 3.0 网站上的新加密货币动画

加密货币追踪公司和执法部门的查获一再表明,比特币是可以追踪的,虽然门罗币是一种隐私币,但绝大多数美国加密货币交易所都不出售它。
Zcash也是一种隐私币,更难追踪。它目前在美国最受欢迎的加密货币交易所Coinbase上出售,使受害者更容易购买以支付赎金。
但是,如果勒索软件转而接受这种代币的付款,它可能会迫于政府压力从美国交易所中移除。

LockBit出售受害者的被盗数据?

LeMagIT的Valery Marchive发现LockBit 3.0正在利用一种新的勒索模型,允许攻击者购买在攻击期间被盗的数据。
新的LockBit 3.0数据泄露网站使用的其中一个JavaScript文件显示了一个新的HTML模式对话框,允许人们购买网站上泄露的数据。
正如下图所示,它将提供购买数据并通过Torrent或直接在网站上下载数据的能力。可用选项可以根据被盗数据的大小来确定,Torrent用于大数据转储和直接下载少量数据。

显示新数据勒索方法的 JavaScript 源代码

由于LockBit 3.0数据泄露站点目前不包含任何受害者,因此尚不清楚这种新的勒索策略将如何运作,甚至不知是否已启用。
LockBit是最活跃的勒索软件运营商之一,其面向公众的运营商积极与其他攻击者和网络安全社区互动。由于其不断采用新的策略、技术和支付方式,安全和网络专业人员必须及时了解最新进展。

塞讯安全实验室全天候为客户收集互联网中最新的威胁情报,并快速、大规模地模拟勒索软件部署之前的入侵,在确保安全的前提下,既能够模拟勒索软件的传输,也能够模拟勒索软件的执行,帮助您检验防御体系是否能对这些攻击手段产生正确的响应

| 参考来源:
https://www.bleepingcomputer.com/news/security/fake-copyright-infringement-emails-install-lockbit-ransomware/
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/