LockBit勒索案例分析丨应对勒索攻击的终极指南-小百科

LockBit简介

LockBit因其将加密文件转换为“.abcd”扩展名而被戏称为“ABCD”勒索软件，属于一种勒索软件即服务 (RaaS) 恶意软件。自2019年9月首次检测到以来，攻击者一直在不断更新LockBit的特性和功能。该勒索软件宣称是加密文件速度最快的勒索软件之一。LockBit也是近年来最活跃的勒索软件之一，最新的攻击向量涉及CitrixBleed漏洞 (CVE-2023-4966)。近期，该组织利用该漏洞对中国工商银行 (ICBC)、迪拜环球港务集团 (DP World)、Allen & Overy和波音公司等发起了攻击。工银金融服务网站发布公告证实，其系统于2023年11月8日发生中断。

除此之外，近年来LockBit还针对多个知名机构发起了多起勒索攻击事件。这包括但不限于：

被攻击组织		攻击描述
Maximum Industries		这家制造商为 SpaceX生产火箭零件。LockBit 团伙宣称在 2023 年 3 月中旬的一次攻击中窃取了 3,000 个专有原理图以及其他蓝图。
Essendant		一家办公用品批发分销商于 2023 年 3 月遭受重大网络攻击。LockBit 组织于 3 月 14 日声称对此负责。
洛杉矶市住房管理局 ( HACLA )		这家为洛杉矶市低收入个人和家庭提供经济适用住房的州特许机构警告称，发生了一起网络事件，该事件后来被归咎于 LockBit 勒索软件组织。
Aguas do Porto		葡萄牙市政供水公司Aguas do Porto于 2023 年 2 月遭到勒索软件组织的攻击。该公司管理整个水循环，包括供水和废水排放、公共照明和光伏园区。
皇家邮政		2023 年 1 月上旬，LockBit 勒索软件组织入侵了英国领先的邮件递送服务皇家邮政的系统，导致包裹递送中断。
惠特沃斯大学		华盛顿一所私立大学于 2022 年 7 月遭受 LockBit 勒索软件攻击，所有业务暂停两周多。该组织声称窃取了 715 GB 的惠特沃斯数据，涉及会计、营销、基础设施和文档。
意大利税务局		LockBit 团伙于 2022 年 7 月对意大利税务局实施了最大规模的网络攻击。在这次攻击中，价值 78 GB 的数据从该机构的服务器被盗。税务机构和 LockBit 团伙之间正在就赎金支付问题进行谈判。
Entrust		安全巨头，Entrust 的网络于 2022 年 6 月遭到破坏，敏感数据被 LockBit 勒索软件团伙窃取。有趣的是，Entrust 在 LockBit 的服务器上部署了拒绝服务恶意软件，阻止他们释放被盗数据。
图书馆借阅应用 Onleihe		2022 年 3 月，服务提供商 EKZ 成为网络攻击的受害者后，该在线图书馆面临运营障碍。多个附属网站、统计页面、目录数据和 ID-Delivery 均受到攻击影响。目前还没有关于攻击中哪些数据被盗的可靠信息。
埃森哲		LockBit于 2021 年 8 月攻击埃森哲，并索要 5000 万美元赎金。在这次攻击中，一些专有信息被窃取并在 LockBit 的泄露网站上发布。

三个案例揭示LockBit勒索过程

攻击案例1

2023年6月，Varonis取证团队对一起LockBit勒索攻击事件展开了调查，该事件导致多个文件服务器遭受了大规模加密和数据泄露。调查结果显示，攻击者成功获取了域管理员权限，并采用多重手段进行权限维持，包括在多台主机上部署C2工具，从而窃取了大量敏感数据，最终实施了数据加密。攻击的起始点是利用Log4Shell漏洞侵入目标网络，并获取初始访问权限。在内网环境中，攻击者使用Mimikatz进行凭据收集、通过PSEXEC进行横向移动，并创建账户以维持权限。最终，攻击者通过建立C2隧道实施数据窃取，并部署LockBit勒索软件进行勒索攻击。

针对此案例，多个阶段中用到的攻击技术能够被监测与发现：

攻击阶段	攻击技术	监测并阻断
初始访问	T1556.006:缺乏远程访问的MFA	✅
权限维持	T1136.002:账户创建	✅
权限提升	T1003:Mimikatz T0892:密码重置	✅
横向移动	T1569.002:PSEXEC T1021.001:RDP	✅
命令和控制	T1059.001:Powershell	✅

攻击案例2

在2022年第二季度，LockBit组织发动了一起对某零售公司资产的攻击，对其资产进行了窃取和加密。攻击的起始点是通过利用服务器应用程序漏洞获得目标公司网络的初始访问权限。在内网中，攻击者通过转储lsass内存进行信息收集，获取了高权限凭据，并借助ntdsutil工具导出ntds文件，获取了全域的凭据。同时，通过不断利用PsExec和RDP进行横向移动，导出凭据，积累了足够多的权限。

为了维持权限，攻击者采用创建域用户、建立Ngrok隧道的手段，并利用Ngrok隧道进行数据窃取，使用Rclone、MegaSync和Filezilla等工具完成这一过程。在成功窃取数据后，攻击者关闭了AV、EDR等防护软件，部署了Lockbit勒索软件，并删除了vssadmin.exe和bcdedit.exe文件。最终，为了清除入侵痕迹，攻击者删除了相关的日志数据。

针对此案例，多个阶段中用到的攻击技术能够被监测与发现：

攻击阶段	攻击技术	监测并阻断
信息收集	T1003.001:lsass内存转储 T1003.003:NTDS文件窃取	✅
权限维持	T1136.002:创建域用户	✅
横向移动	T1569.002:PSEXEC T1021.001:RDP	✅
证据清理	T1070.001:清除日志	✅

攻击案例3

在2021年第四季度，LockBit组织对一家工业公司实施了攻击，导致该公司的数据被勒索加密。攻击者通过钓鱼或漏洞利用方式进入目标公司内网，接着运用Mimikatz等工具进行凭据收集。随后，攻击者使用psexec和rdp等技术进行横向移动，通过SpoolFool工具实施权限提升攻击，并添加域用户进行权限维持。最终，部署LockBit，对公司数据实施了加密，给企业的数据安全带来了重大威胁。

针对此案例，多个阶段中用到的攻击技术能够被监测与发现：

攻击阶段	攻击技术	监测并阻断
信息收集	T1003.006:Mimikatz T1003.001:lsass内存转储	✅
横向移动	T1569.002:PSEXEC T1021.001:RDP	✅
权限提升	T1547.012:SpoolFool利用	✅
权限维持	T1136.002:创建域用户	✅
证据清理	T1070.001:清除日志	✅

在近三年内，LockBit系列的攻击事件对受害组织造成了严重的损失，其危害不可小觑。然而，通过对众多案例的分析发现，这些攻击过程并非无法察觉，它们无一例外都是对集权设施发起攻击，包括最近工行（ICBCFS）的勒索事件。只要对LockBit攻击过程中的关键环节进行监测与阻断，就能够起到很好的防护效果。

勒索攻击防御不再是难点

勒索攻击具有一系列的攻击行为，随着勒索软件的分发部署，最终给企业安全带来重大威胁。因此，针对勒索攻击进行防御，重点应该针对集权设施来进行，需要以事前、事中阶段为主，以事后阶段为辅，进行全链路的攻击防护。

网星安全ITDR平台提供事前、事中、事后的全链路防护，及时发现、阻断勒索攻击。

事前阶段，通过基线检查主动收敛攻击面。主动发现不活跃账户、异常账户、MFA禁用、未打补丁的漏洞等问题，并及时进行加固。

事中阶段，针对异常行为进行实时监测及告警，并在攻击者攻击的过程中，对攻击行为进行实时阻断。实时监测不活跃用户登录、lsass内存转储、Mimikatz、PSEXEC工具等，及时切断攻击者的攻击路径，使得攻击无法继续。

事后阶段，结合告警，以及平台上的相关证据，对攻击事件进行调查取证。

网星安全根据不同客户需求，提供7*24小时或5*8小时的ITDR产品安全运营服务，配备专业安全团队，对攻击链进行全过程溯源并协助处置，提供专业修复加固建议避免同类威胁事件再次发生，为您提供一站式ITDR安全防护解决方案，预防勒索攻击对企业带来的威胁。

LockBit勒索案例分析丨应对勒索攻击的终极指南 繁體

LockBit勒索案例分析丨应对勒索攻击的终极指南 ^繁體