近日,某大型金融机构遭到勒索攻击。多方信息表示,该事件的始作俑者为一个基于“勒索软件即服务”(RaaS)模式运营的攻击组织——Lockbit。
据悉,LockBit 勒索组织攻击者利用其未修复Citrix Bleed漏洞(CVE-2023-4966)的Citrix服务器发起入侵行为,形成勒索事件,并且LockBit正在积极利用该漏洞展开全球攻击,波音、DP World等多家大型企业都未曾幸免。
目前,Lockbit组织发出公告,声称该金融机构已经交付赎金。
Citrix Bleed漏洞
Citrix Bleed漏洞为今年10月份爆发的Citrix Systems公司产品的最新漏洞CVE-2023-4966,存在于Citrix服务器,是一个严重程度极高、可远程利用的信息泄露漏洞。
LockBit 勒索攻击组织
LockBit勒索攻击组织最早被发现于2019年9月,因其加密后的文件后缀名为abcd,故而一开始被称作为 ABCD 勒索软件,随后加密文件后缀修改为 lockbit,被更名为LockBit勒索软件。2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时推出专用窃密木马StealBit,对受害者进行双重勒索攻击。随后,LockBit组织于2022年6月底发布了3.0版本的勒索木马(又名 LockBit Black),并向研究人员提供“漏洞赏金”计划,以此来完善自身功能。
近两年,在全球各国不留余力的打击下,LockBit仍本着“风浪越大,鱼越贵”的原则迅速发展。至今,LockBit在所有勒索软件攻击中已占据了三分之一以上的份额,成为全球最活跃的勒索软件。
01 典型攻击过程
LockBit勒索组织利用边界网络/安全设备以及常见web应用及中间的漏洞进入内网,通过对内网环境进行了大量扫描探测和信息收集,随即拿到打印机服务器本地账户权限作为据点,并逐渐摸清域环境脉络,提升到域管理员权限,逐步定位到域控、Exchange邮件服务器、共享文件服务器等多个核心服务器,最终利用Psexec配合域管哈希对内网多个员工终端进行了批量横移+勒索投递操作。
02 LockBit 勒索组织的两种盈利模式
天下武功,唯快不破。LockBit勒索攻击组织自称在加密速度及窃密速度上为全球勒索之最。
1. 加密重要文件,实施勒索
在LockBit迅速加密勒索目标的核心文件后,受害者即会被告知用加密货币来支付赎金,若未按时支付,就会删除其敏感数据。根据LockBit在暗网上的资料显示,Lockbit以每秒373M的速度位列所有勒索病毒的第一名,加密100GB的文件仅需4分半钟。Lockbit使用AES密钥通过RSA-2048加密。按目前的计力,要破解RSA-1024位密钥至少就需要两年时间,而破解2048位密钥起码需要80年。因而加密快、破解难成为了LockBit组织在勒索中依靠加密核心文件频频获利的重要原因。
2.盗取文件,实施勒索或公开、出售
LockBit开发了自己独有的数据窃取工具“StealBit”,StealBit 使用 Microsoft I/O 完成端口模型,以最大限度地提高数据泄露活动的整体效率。在文件盗取后,如勒索不成,LockBit勒索组织会将其公开或出售。惨遭黑手的并不在少数,近期,波音公司大约43GB的被盗数据就被其公布,而国内也有企业未曾幸免。
LockBit甚至会直接贴出“公告”
N-day,未被修复的漏洞
在整个事件的复盘中,我们可以发现黑客组织所使用的Citrix Bleed漏洞是典型的N-day漏洞,此前无论官方还是安全行业内的其他组织都已发布过公告与处理意见,但黑客组织仍能充分利用其完成勒索攻击。
这也是此次勒索攻击事件中,我们最应该注意到的核心问题:是什么让该公司忽略了高危漏洞的修复工作?
金融行业始终被认为网络安全系数远高于一般行业,然而在此次事件中也不得不选择支付赎金收场。此次事件后,很多安全专家都惊讶于黑客组织竟然敢把矛头对准跨国大型金融企业,此举一定会招致相关部门的严厉打击。
然而事实上却是LockBit组织很快就又在官网上挂出了“从波音公司窃取的超过40GB的敏感数据”的消息。可见尝到“甜头”的不法分子只会在后续的勒索攻击中更加肆无忌惮。而这也为我国企业敲响了网络安全警钟,毕竟此前从未有过类似针对中国大型企业的勒索攻击被大规模曝光。此次事件后,很可能还会有黑客组织将中国企业,尤其是大型出海企业作为潜在攻击目标。
仅从域名看,国内已多两家公司数据被“挂网”
通过收集信息,我们发现目前在LockBit官网公开的两组大陆企业数据分别来自上海某物流企业与深圳某房地产企业。虽然这两家企业整体规模不大,但业务数据被“挂网”仍将引发包括用户信息泄露、同行业恶意竞争、品牌声誉受损等影响。
本因:资产自查能力不足
针对此类网络安全威胁,我国已在近年频繁开展网络安全事件应急演练的形式,进一步加强了各政企单位的网络安全和重大风险事件防范能力,切实提升了我国网络信息安全突发事件应急处置能力。
那么,在网络安全意识和应急处置能力逐渐提高的同时,为什么此类漏洞还会在企业中频频出现?我们可以将原因归结于:资产自查能力不足。
近年来,信息化产品虽然提高了企业的运行效率,但其自身的安全漏洞问题也给企业带来了很多潜在隐患。因此,做好资产盘点和梳理,是防御潜在网络威胁的首要工作。就目前来看,多数企业缺乏自动化、系统化的资产管理体系,自查工作普遍存在自查不清,梳理效率低等问题。庞大的IT资产数量使企业内外部安全与漏洞管理工作开展困难,资产管理出现了盲区,另一方面则是大型企业推动风险处置流程漫长,错过了处置的黄金窗口期,攻击者便有了可乘之机。
总结来说,对抗目标明确的攻击组织,必须通过系统且持续的资产管理,拥有超越对手的攻击面自动化挖掘技术手段,才能够做到防患于未然。
明见·FORadar互联网资产攻击面管理平台
基于此类用户痛点,华顺信安依靠多年的网络空间测绘技能力积累和持续的情报追踪能力,自主研发了一款基于攻击者视角的自动化互联网资产攻击面梳理引擎,追求极致的暴露面发现和影响面评估效率,适用大规模企业在类似勒索事件中的隐患资产定位和排查。
01 极速的暴露面挖掘引擎
极速挖掘企业暴露面资产是FORadar系统的核心能力,创新性的“攻击面自动化挖掘”引擎,内置了上千种暴露面挖掘策略,能够进行全球化探测识别,释放人力资源,实现了最快分钟级的企业暴露资产发现并完成威胁的量化评估。
02 建立最全的企业互联网资产库
FORadar系统依托FOFA全球分布的资产测绘节点,在原始线索基础上,能够动态扩展暴露面线索,不间断的调取、分析、裂变、预测,形成基于企业主体的测绘线索库。根据这些网络空间测绘线索库,企业能够快速且准确的获取目标互联网暴露资产。
03 全网评估漏洞资产影响面
根据华顺信安在组织资产测绘领域的技术实践,当前FORadar系统利用网络空间资产自动化标定技术,能够根据绘制出的“企业网络地图”,精准的圈定出互联网上所暴露的漏洞影响组件,并评估出漏洞资产的影响面。致力于做到互联网上的每一个IP地址都有它的归属身份。
实践案例:
华顺信安的情报团队利用上述技术手段,已成功帮助国内金融、能源、政府、制造业客户,在最短时间内测绘发现了大量风险资产,并在漏洞被大规模利用前进行了处置。
部分全网漏洞资产影响面评估与测绘案例:
1
国内某下一代防火墙漏洞测绘追踪
2
腾讯企业微信agentinf信息泄漏漏洞测绘追踪
3
LiveBos远程代码执行漏洞测绘追踪
4
关于金融行业LockBit勒索攻击事件分析与追踪
5
海康威视综合安防管理平台勒索攻击测绘追踪
6
某制造业泛微全系产品暴露面测绘分析
7
某金融业客户Citrix资产暴露面测绘分析等
华顺信安全线产品具备自动化拓线
基于FOFA强大的资产搜索能力与储备,华顺信安已经全线产品融入了“自动化拓线”能力,帮助使用者发现风险资产、收敛攻击面、制定科学的漏洞修补优先级。
在此次事件中出现问题的资产Citrix NetScaler的搜索结果如下:
中国境内该设备分布情况
拥有覆盖互联网的“攻击者”视角,面对类似的问题,企业事业单位便能够第一时间做出判断,科学制定安全策略,以避免被原本应该没有威胁的N-day漏洞造成严重损失。
近期在华顺信安情报团队的持续跟踪下,发现在互联网上已经传出该勒索组织会在全网进行大规模的漏洞利用和勒索攻击,覆盖资产包括海康威视、用友、泛微等,这些供应链资产漏洞大多是在今年HW前后爆出,从对全网测绘结果数据初步判断,仍然有大量漏洞资产暴露在互联网上未处理。
针对本次勒索事件的持续发酵,华顺信安预测未来几周将仍然会有中国企业可能受到勒索攻击造成损失。
如有相关需求可联系华顺信安技术支持团队。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...