主页保安研究人员分析LockBit勒索软件的“业务”

研究人员分析LockBit勒索软件的“业务”

研究人员深入分析他的“生意”是如何运作的 锁位, 一种 来自最新的勒索软件组 在威胁的情况下。 勒索软件已经发展成为一种 今年最常见的网络攻击形式。 它 2017 这是我们第一次看到这种恶意软件可能造成的严重破坏——它在全球爆发 WannaCry - 并达到 2021,似乎没有改变 没什么好转的.

仅在今年,我们就看到了勒索软件攻击 殖民地管道 - 这导致了美国部分地区暂时的燃料短缺 - 问题是 爱尔兰国民健康服务 在勒索软件攻击以及美国顶级肉类供应商的系统中断之后 JBS 由于勒索软件攻击。

勒索软件团伙日益壮大 恶意程序,它可以加密和“锁定”系统,也可能在攻击期间窃取机密数据。 然后他们问受害者 赎金,为他们提供解密密钥。 事实上,许多帮派都在遵循他的策略 “双重勒索”,一方面他们要求受害者支付赎金,另一方面他们以泄露被盗数据或在暗网上出售来威胁他们。

阅读: G7 到俄罗斯:处理该国的勒索软件团伙

LockBit勒索软件
研究人员分析LockBit勒索软件的“业务”

成本 勒索软件攻击 预计到 265 年全球将达到 2031 亿美元,而付款通常以数百万美元为单位 - 就像 JBS 的情况一样。 然而, 没有保证 解密密钥适用于特定目的,或者支付一次赎金将确保组织不会再次被黑客“攻击”。

一项调查 Cyber​​eason 本周发布,表明 多达 80% 的勒索软件公司遭受过第二次攻击, 可能是同一个恶意代理。

勒索软件对企业和关键公用事业的威胁已变得如此严重,以至于该问题已列入美国总统会议的议程。 拜登和俄罗斯总统, 弗拉基米尔·普京,在日内瓦峰会上。

Prodaft 威胁情报组 (PTI) 发表了一份关于 LockBit 团伙及其附属机构的报告。 据报道,LockBit,据信过去曾以该名称运营 A B C D, 一个结构起作用 RAAS 它为附属团体提供了一个中央控制面板,用于创建新的 LockBit 样本、管理他们的受害者、发布博客文章以及开发关于攻击尝试成功或失败的统计数据。

另请参阅: JBS:向 REvil 勒索软件团队提供了 11 万美元的赎金

LockBit勒索软件
研究人员分析LockBit勒索软件的“业务”

报道还透露,LockBit 团伙附属机构经常购买 远程桌面协议 (RDP) 访问服务器 作为最初的攻击者,虽然他们也可能使用常见的技术 钓鱼 και 凭证填充.

此外,它们用于 功勋 用于破坏易受攻击的系统,包括尚未在目标计算机上修复的 VPN Fortinet 错误。

对受到 LockBit 同事攻击的机器的取证调查表明,威胁组织通常首先尝试识别“关键任务”系统,包括 NAS 设备、备份服务器和域控制器。 然后数据删除开始,数据包通常被加载到服务中,包括 MEGA 的云存储平台。

然后手动部署 LockBit 示例,并使用 AES 密钥加密文件。 备份被删除,系统壁纸被更改,显示带有站点地址链接的赎金通知 .onion, 购买解密软件。

该站点还提供“测试”加密,其中文件 - 小于 256 KB - 可以免费解密。 然而,这样做不仅仅是为了表明解密是可能的。 必须将加密文件提交给关联方,以便为该受害者创建加密器。

LockBit勒索软件
研究人员分析LockBit勒索软件的“业务”

提案: 殖民管道:支付给 DarkSide 的大部分赎金已被追回

如果受害者同意 谈判 与攻击者,后者可以打开一个聊天窗口 LockBit 面板 与他们交谈。 对话通常从赎金要求、截止日期和支付方式开始——通常是比特币——以及如何购买加密货币的说明。

Η 产品 能够访问 LockBit 面板,显示帮派成员的用户名、受害者号码、注册日期和联系方式。
据研究人员称,来自合作者姓名和地址的数据表明,其中一些人也可能与黑帮团伙有关。 巴布克 και 魔鬼,另外两个 RaaS 组 - 但是,调查正在进行中。

LockBit 帮派的同伙 平均每个受害者索赔约 85.000 美元,其中 10-30% 流向 RaaS 运营商. 此外,这个勒索软件 已经“感染”了全球数千台设备. 超过 20% 的受害者是活跃的 在软件和服务领域.

现在, 数据泄漏现场 LockBit 帮派 无法使用. 在渗透到 LockBit 系统后,研究人员解密了平台上所有受害者的数据。

信息来源:zdnet.com

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻