外媒称：中国工商银行美国分部遭受勒索软件攻击及勒索病毒简介

中国工商银行金融服务部为金融机构办理交易及其他服务。

周五看到的其网站上的一份声明称，本周的勒索软件攻击扰乱了其部分系统，但它已断开部分受影响系统的连接，以限制攻击的影响。

该公司总部位于纽约，表示正在调查并向执法部门报告了该问题。

周三执行的所有国债交易和周四的回购融资交易均已清算。据称，工商银行的银行、电子邮件和其他系统没有受到影响。

该公司没有提供更多细节，但有报道称，此次攻击是由 LockBit 发起的，这是一个讲俄语的勒索软件集团，不针对前苏联国家。根据网络安全公司 Emsisoft 的说法，它是最有效的勒索软件变种之一。它自 2019 年 9 月以来一直活跃，已攻击了数千个组织。

LockBit 是一种勒索软件，它会阻止用户访问受感染的系统，直到支付了所请求的赎金。自 2019 年 9 月出现以来，它一直非常活跃，并影响了全球数千个组织。LockBit 的许多攻击功能都是自动化的，使其成为市场上最有效的勒索软件变种之一。

什么是LockBit？

LockBit 是一种勒索软件变体，它使用 AES 加密对文件进行加密，并要求大额赎金（通常为五位数）才能解密。大多数现代勒索软件都是手动操作的，而 LockBit 的流程很大程度上是自动化的，这使得勒索软件在最初的妥协点之后能够以最少的人为监督传播和感染其他主机。

LockBit 在勒索软件即服务 (Raas) 商业模式下运营，勒索软件开发商将其勒索软件出租给附属机构，附属机构从其实施的攻击中收到部分赎金。

双重勒索，即威胁行为者利用窃取的数据迫使受害者支付赎金，已成为大多数勒索软件组织的标准程序，LockBit 也不例外。

LockBit 的历史

LockBit 于 2019 年 9 月首次被观察到。它最初被称为 ABCD 勒索软件，因为旧版本的勒索软件会将 .abcd 文件扩展名附加到加密文件中。在更高版本中，文件扩展名更改为.LockBit。

2020 年 5 月，LockBit 开始与 Maze 合作，形成一些人所说的“勒索软件卡特尔”。据信，这两个组织共享策略和资源，LockBit 利用 Maze 的泄露网站发布被盗文件。LockBit 于 2020 年 9 月推出了自己的泄密网站。

2020 年 8 月，国际刑警组织在其网络犯罪：Covid-19 影响报告（注：链接开始 PDF 下载）中警告说，针对美洲中型公司的 LockBit 攻击激增。

2021 年 6 月，LockBit 推出了 LockBit 2.0，并开展了招募新会员的广告活动。

自 LockBit 首次被发现以来，已有 9,955 份提交给 ID Ransomware，这是一种在线工具，可帮助勒索软件受害者识别是哪个勒索软件加密了他们的文件。我们估计，只有 25% 的受害者向 ID Ransomware 提交了报告，这意味着自该勒索软件出现以来，总共可能发生了 39,976 起 LockBit 事件。

LockBit 的联盟计划

与其他 RaaS 运营的情况一样，附属机构保留 70% 到 80% 的攻击收益，其余部分由 LockBit 的开发人员保留。

为了招募附属机构，开发人员将 LockBit 的加密性能与多种其他类型的勒索软件进行了基准测试。LockBit 还声称通过 StealBit 提供市场上最快的数据泄露服务，StealBit 是一种数据盗窃工具，据称可以在 20 分钟内从受感染的系统下载 100 GB 的数据。

LockBit 加密速度对照表

LockBit 下载速度比较表

LockBit 勒索信

加密过程完成后，LockBit 在所有受感染的目录中投放名为“Restore-My-Files.txt”的勒索字条，并更改目标系统上的桌面壁纸。该说明包含如何付款的说明，并警告受害者避免使用第三方解密软件和恢复服务。勒索信还包含一个支付门户的链接，受害者可以在其中“与支持人员聊天”并访问一次性免费解密，以验证攻击者是否拥有解密密钥的合法副本。

以下是 LockBit 勒索信样本：

LockBit 的目标是谁？

LockBit 针对各种规模的组织，从小型企业到公司企业。受 LockBit 影响最严重的行业包括软件和服务、商业和专业服务、运输、制造和消费服务。

在加密过程开始之前，LockBit 会验证受感染系统的位置。如果确定系统位于独立国家联合体，勒索软件将自动中止。这可能会避免引起该地区执法当局的注意。

LockBit是如何传播的？

如前所述，LockBit 攻击在很大程度上是自动化的，允许威胁行为者以高效率进行操作，并且从初始访问到勒索软件执行只需几个小时。就上下文而言，大多数勒索软件团体在执行勒索有效负载之前会在目标网络中花费数天甚至数周的时间。

LockBit 攻击链通常通过受损的远程桌面协议、网络钓鱼活动、撞库或利用已知安全漏洞来获取对目标网络的访问权限。然后，恶意软件通过禁用安全服务、删除键盘记录器、删除卷影副本以及枚举所有可访问的控制器和网络共享来准备目标环境。在加密之前，高价值数据会被泄露到 MEGA 云存储平台等托管服务中。被盗数据被用作强迫受害者支付赎金的额外手段。

一旦渗透过程完成，攻击者就会从 LockBit 管理面板生成一个独特的 LockBit 样本，所有附属机构都可以访问该样本。然后，该样本在目标系统内手动执行，加密受害者的文件并发送勒索信息。

由于 LockBit 作为 RaaS 运行，并且可以由许多不同的附属机构分发，因此攻击的具体分析因事件而异。

主要 LockBit 攻击

印度报业托拉斯：2020 年 10 月，印度最大的新闻机构印度报业托拉斯成为 LockBit 攻击的受害者。该事件扰乱了运营，并导致该公司无法向印度各地数百家依赖印度报业托拉斯进行每日新闻报道的媒体机构传递新闻。没有支付赎金，IT 团队能够在一夜之间恢复受影响的系统。
Merseyrail：2021 年 4 月，英国铁路网络 Merseyrail 据称遭到 LockBit 攻击。在威胁行为者劫持了一名主管的 Office 365 电子邮件帐户并向员工和记者（包括首先爆料该事件的 BleepingComputer 的 Lawrence Abrams）发送消息后，该事件的消息浮出水面，并声称员工和客户数据已被窃取。

如何保护网络免受 LockBit 和其他勒索软件的侵害

以下做法可以帮助组织降低 LockBit 事件的风险。

网络安全意识培训：由于大多数勒索软件通过用户发起的操作进行传播，因此组织应实施侧重于向最终用户传授网络安全基础知识的培训计划。勒索软件和传播方法在不断发展，因此培训必须是一个持续的过程，以确保最终用户应对当前的威胁。
凭证卫生：实行良好的凭证卫生有助于防止暴力攻击、减轻凭证盗窃的影响并降低未经授权的网络访问的风险。
多重身份验证：MFA 提供额外的安全层，有助于防止未经授权访问帐户、工具、系统和数据存储库。组织应考虑尽可能启用 MFA。
安全补丁：各种规模的组织都应该拥有强大的补丁管理策略，确保尽快应用所有端点、服务器和设备上的安全更新，以最大程度地减少攻击机会。
备份：备份是减轻勒索软件事件影响的最有效方法之一。许多勒索软件可以在网络上横向传播并加密本地存储的备份，因此组织应使用混合媒体存储，并在现场和异地存储备份副本。有关创建防勒索软件备份的更多信息，请参阅本指南。
系统强化：强化网络、服务器、操作系统和应用程序对于减少攻击面和管理潜在安全漏洞至关重要。禁用不需要的和可能被利用的服务，例如 PowerShell、RDP、Windows Script Host、Microsoft Office 宏等，可以降低初始感染的风险，同时实施最小权限原则可以帮助防止横向移动。
阻止宏：许多勒索软件系列是通过嵌入宏的 Microsoft Office 或 PDF 文档传递的。组织应审查宏的使用情况，考虑阻止来自 Internet 的所有宏，并且只允许经过审查和批准的宏从受信任的位置执行。
电子邮件身份验证：组织可以使用各种电子邮件身份验证技术，例如发件人策略框架、域名密钥识别邮件以及基于域的消息身份验证、报告和一致性来检测电子邮件欺骗并识别可疑消息。
网络隔离：有效的网络隔离有助于遏制事件、防止恶意软件的传播并减少对更广泛业务的干扰。
网络监控：各种规模的组织都必须拥有适当的系统来监控可能的数据泄露渠道并立即对可疑活动做出响应。
渗透测试：渗透测试对于揭示 IT 基础设施中的漏洞以及员工对勒索软件的易感性非常有用。测试结果可用于分配 IT 资源并为未来的网络安全决策提供信息。
事件响应计划：组织应制定全面的事件响应计划，详细说明发生感染时应采取的措施。快速响应可以帮助防止恶意软件传播、最大程度地减少干扰并确保尽可能有效地修复事件。