威胁情报信息分享|LockBit 勒索软件向美国公司索要9100万美元赎金

自2020年以来，LockBit 勒索软件即服务（RaaS）计划背后的威胁行为者通过对众多美国组织发起数百次攻击，已经索取了9100万美元的赎金。

这是根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、多州信息共享和分析中心（MS-ISAC），以及来自澳大利亚、加拿大、法国、德国、新西兰和英国的其他合作机构发布的联合公告。

该机构表示：“LockBit 勒索软件即服务（RaaS）吸引了众多分销商使用 LockBit 进行勒索软件攻击，导致大量没有关联的威胁行为者进行极为不同的攻击。”

LockBit 于2019年底首次出现，至今仍然具有破坏性和活跃性，仅在2023年5月就针对多达76个受害者发起攻击，这是根据上周 Malwarebytes 分享的统计数据。这个与俄罗斯有关的集团至今已经声称对至少1,653次勒索软件攻击负责。

该网络犯罪行动已经攻击了一系列关键基础设施部门，包括金融服务、食品和农业、教育、能源、政府和应急服务、医疗保健、制造业和交通。

迄今为止，LockBit 已经接受了三次重大升级：LockBit Red（2021年6月）、LockBit Black（2022年3月）和 LockBit Green（2023年1月），最后一次升级是基于现已解散的 Conti 集团的泄露源代码。

此后，勒索软件已经被修改以针对 Linux、VMware ESXi 和 Apple macOS 系统，使其成为一个不断发展的威胁。RaaS运营还因支付人们纹身其标志以及首次设立漏洞赏金计划而引人注目。

这种业务模式涉及核心开发人员将其软件出租给分销商，由分销商进行实际的勒索软件部署和勒索。但是，在一个转折中，该集团允许分销商在将一部分赎金发送给主要团队之前先接收赎金支付。

涉及 LockBit 的攻击链已经利用了近期披露的 Fortra GoAnywhere 托管文件传输（MFT）和 PaperCut MF/NG 服务器以及其他已知的 Apache Log4j2、F5 BIG-IP 和 BIG-IQ 以及 Fortinet 设备的漏洞，以获得初始访问权限。

分销商还使用了三十多种免费和开源工具，用于网络侦查、远程访问和隧道、凭证转储和文件泄露。已发现的入侵进一步滥用了合法的红队软件，如 Metasploit 和 Cobalt Strike。

各机构表示：“LockBit 通过其创新和持续开发该团队的管理面板（即，简化的点击接口，使勒索软件部署对技术技能较低的人来说更容易）、分销商支持功能以及 TTPs 的不断修订取得了成功。”

这个开发来临之际，CISA 发布了一个强制性操作指令23-02，要求联邦机构在发现后的14天内保护像防火墙、路由器和交换机这样暴露于公共互联网的网络设备，并采取步骤减小攻击面。

CISA 主任 Jen Easterly 表示：“威胁行为者经常能够使用网络设备获得对组织网络的无限制访问权限，从而导致全面的妥协。要求适当的控制和缓解措施 [...] 是减少对联邦民事企业风险的重要一步。”

这些咨询也遵循了一项新的咨询，强调对基板管理控制器（BMC）实施的威胁，这可能会使威胁行为者建立一个“预执行潜力的滩头阵地”。

CISA 和美国国家安全局（NSA）在一项联合警告中指出：“硬化的凭证、固件更新和网络分段选项经常被忽视，导致 BMC 易受攻击。”

“此外，恶意行为者可以禁用如受信任的平台模块（TPM）或 UEFI 安全启动等安全解决方案，操纵任何附加的存储媒体上的数据，或在网络基础设施上传播植入物或破坏性指令。”