包括美国联邦调查局(FBI)和英国国家犯罪侦查局(NCA)在内的国际执法机构联盟已经扰乱了多产的LockBit勒索软件团伙的运作。
LockBit团伙的暗网泄露网站——该团伙在此公开列出了受害者名单,并威胁称,除非支付赎金,否则将泄露其被盗的数据——周一已被执法通知所取代。
英国国家犯罪侦查局发言人海蒂·哈芬里希特 (Hattie Hafenrichter)表示,“由于国际执法行动,LockBit的勒索服务已中断。” 被关闭的泄密网站上的一条消息证实,该网站“目前由英国国家犯罪侦查局控制,并与联邦调查局和国际执法工作组‘克罗诺斯行动’(Operation Cronos)密切合作。”
目前,该暗网网站现在拥有一系列暴露 LockBit 能力和操作的信息,包括后端泄露以及有关 LockBit 所谓头目(称为 LockBitSupp)的详细信息。
”克罗诺斯行动“(Operation Cronos)是一个由NCA领导的特别工作组,并由欧洲刑警组织(Europol)和欧洲司法组织(Eurojust)在欧洲协调。它还涉及来自美国、法国、日本、瑞士、加拿大、澳大利亚、瑞典、荷兰、芬兰和德国的其他国际警察组织。
欧洲刑警组织在周二的一份声明中证实,长达数月的行动“已经导致LockBit的主要平台和其他关键基础设施遭到破坏,从而使他们的犯罪活动难以开展”。其中包括关闭荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务器,并扣押200多个加密货币钱包。目前尚不清楚这些钱包中存储了多少加密货币。
另外,美国司法部对两名俄罗斯公民 Artur Sungatov 和 Ivan Gennadievich Kondratiev 提起了起诉,指控他们参与了LockBit攻击。在法国司法当局的要求下,波兰和乌克兰也逮捕了两名被指控的LockBit参与者。
在周一被取缔之前,LockBit在其暗网泄密网站上声称,它“位于荷兰,完全不关心政治,只对金钱感兴趣”。
作为“克罗诺斯行动”的一部分,执法机构表示,他们已从被扣押的LockBit基础设施中获取了解密密钥,以帮助勒索软件团伙的受害者重新获得数据访问权限。
自2019年底首次以勒索软件即服务 (RaaS) 形式出现以来,LockBit已成为世界上最猖獗的网络犯罪团伙之一。据美国司法部(DOJ)称,LockBit已被用于针对美国和全球受害者系统的约2000起勒索软件攻击,该团伙已收到超过1.2亿美元的赎金。
总部位于英国的网络安全公司NCC Group威胁情报主管马特·赫尔(Matt Hull)告诉 TechCrunch,该公司仅在2023年就记录了1039名LockBit受害者,“占我们全年发现的所有勒索软件受害者的22%”。
LockBit及其附属机构声称对黑客攻击世界上一些最大的组织负责。该团伙去年声称对航空航天巨头波音公司、芯片制造商台积电、英国核潜艇基地数据和英国邮政巨头皇家邮政的网络攻击负责。近几个月来,LockBit团伙声称对佐治亚州富尔顿县的勒索软件攻击负责,该攻击导致该县关键服务中断数周,LockBit还声称对针对印度国有航空航天研究实验室的网络攻击负责。
周一的行动是一系列针对勒索软件团伙的执法行动中的最新行动。去年12月,一组国际执法机构宣布他们查获了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄露网站,该团伙造成了许多知名受害者,其中包括新闻分享网站Reddit、医疗保健公司诺顿和英国巴茨健康NHS信托基金会(Barts Health NHS Trust)。
近期,路透社、英国《金融时报》和其他媒体援引消息人士的话称,有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称,中国工商银行已经支付了赎金,但目前没有得到核实确认。
在勒索软件攻击中,黑客通常锁定(加密)受害企业的系统,并索要赎金来解锁系统(解密),通常还窃取敏感数据以达到勒索的目的。
中国工商银行美国分行遭勒索攻击 上周四,中国工商银行(ICBC)美国分行遭受了勒索软件攻击,扰乱了美国国债市场的交易,这是今年黑客勒索赎金的一系列受害者中的最新一起。
当时,中国资产规模最大的商业银行的美国子公司工银金融服务公司表示,正在调查这起破坏其部分系统的网络攻击事件,并在数据恢复方面取得进展。
中国外交部上周五表示,该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示,工行一直密切关注此事,并尽最大努力做好应急处置和监管沟通;工商银行总行及全球其他分支机构的业务保持正常。
几位勒索软件专家和网络安全分析师表示,名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手,该团伙有俄罗斯背景,通常在其暗网网站上发布受害者姓名。
交易市场的参与者表示,该攻击事件的影响相对较小,但引发的担忧并不小。
Lockbit团伙成员称工行已经支付了赎金 Lockbit勒索软件团伙代表本周一在一份声明中表示,中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金,不过路透无法独立核实该声明。
Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社:“他们支付了赎金,交易完成。”
据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。
此次勒索软件攻击发生之际,人们对26万亿美元的国债市场的弹性更加担忧,该市场对于全球金融管道至关重要,并且可能会引起监管机构的审查。
一位发言人在一份声明中表示:“我们提醒会员及时采取所有保护措施,并立即修补关键漏洞。”他补充道:“勒索软件仍然是金融部门面临的最大威胁之一。”
为什么工行要支付赎金 近几个月来,Lockbit对世界上一些最大的企业进行了黑客攻击,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。
据美国官员称,在短短三年内,它已成为全球最大的勒索软件威胁。
在美国,该勒索软件团伙的破坏性最大,影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。
政府长期以来一直建议不要向勒索软件团伙支付费用,以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要,因为加密货币难以追踪,而且接收者匿名。
一些公司已经悄悄支付了赎金,以求尽快恢复正常运营,并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择,只能付费。
工行黑客事件使用了美国政府曾曝光的攻击方式 美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。
所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。
该漏洞本身是一个缓冲区溢出问题,可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备(例如 VPN 虚拟服务器或ICA或RDP代理)时,它会影响NetScaler的本地版本。
该漏洞的严重性评分为9.4 分(CVSS 3.1 等级最高为10分),为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用,攻击复杂性低,无需特殊权限,也无需用户交互。
与此同时,鉴于大规模利用活动的报道,美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南,敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。
大规模的“CitrixBleed”漏洞利用 自8月份以来,威胁行为者一直在积极利用该漏洞,这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话,因为即使在更新后,认证会话仍有可能继续存在。
安全研究员凯文-博蒙特(Kevin Beaumont)指出,中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。
“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞,”博蒙特说,“它允许完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部访问并单击一样简单,它为攻击者在另一端提供了完全交互式的远程桌面。”
最近几周,针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势,公开的漏洞技术细节至少助长了部分攻击活动。
ReliaQuest本周的一份报告表明,目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称,在11月7日至9日期间,观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。
ReliaQuest表示:“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出:“在获得初步访问权限后,攻击者迅速对环境进行枚举,重点是速度而不是隐蔽性。”ReliaQuest表示,在某些事件中,攻击者窃取了数据,而在其他事件中,他们似乎试图部署勒索软件。
互联网流量分析公司GreyNoise的最新数据显示,至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞,这一数字较10月底的约70个有所下降。
黑客攻击的目标是一家公司的数据库,该公司负责英国一些最机密场所的安全,其中包括一个核潜艇基地和一个化学武器实验室。
与俄罗斯有关联的黑客在暗网上泄露了英国军事和情报机构的绝密安全信息。
他们发布了数千页数据,这些数据可以帮助犯罪分子进入英国皇家海军克莱德核潜艇基地、波顿唐化学武器实验室和英国政府通信总部的一个监听站。
在暗网勒索软件团伙LockBit的网络攻击中,有关高安全级别监狱和对英国网络防御至关重要的军事网站的信息也被窃取。黑客瞄准了Zaun公司的数据库,Zaun公司是一家为最高安全级别网站制造围栏的公司。然后,这些信息被发布到暗网上,可以使用特殊软件Tor浏览器进行访问。
英国下议院国防特别委员会成员、工党议员凯文·琼斯(Kevan Jones)警告说:“这可能对我们一些最敏感网站的安全造成严重破坏。”
“政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都是令人极为担忧的。”
上个月,总部位于西米德兰兹的Zaun公司在一次重大攻击中被攻破,该公司为高风险场所制造围栏和周边安全措施,并为2012年伦敦奥运会提供安全屏障。
勒索软件团伙LockBit被描述为世界上最危险的黑客团伙,主要嫌疑人米哈伊尔·马特维耶夫(Mikhail Matveev)在攻击了1400个全球目标后而被联邦调查局列入通缉名单。其中包括企图勒索英国皇家邮政(RoyalMail)6600万英镑,但该公司拒绝支付。
在美国和加拿大,有几名俄罗斯人被指控参与了网络攻击。据说勒索软件团伙LockBit与俄罗斯黑帮有财务联系。
在一份泄露的文件中,Zaun公司描述了为保护威尔茨的波顿唐(Porton Down)而购买的特定设备,并称其在那里的工作“非常隐秘”,波顿唐是英国的化学武器实验室。同时公布的还有一份销售订单,详细说明了为英国皇家海军克莱德海军基地(HMNB Clyde)购买的货物,该基地被称为法斯兰(Faslane),是三叉戟核潜艇的所在地。
泄露的文件还包括康沃尔郡布德政府通讯总部通信中心设备的销售订单报告。英国政府通信总部(GCHQ)形容布德在我们的安全中发挥着“关键作用”。此次泄露的信息还包括“死神”无人机攻击中队所在的林茨瓦丁顿皇家空军基地和第14信号团从事电子战的考德军营的安全设备。
彭布罗克郡考多尔周边围栏的详细图纸附在公司电子邮件中。还有一张地图重点标明了该地点的安装情况。与一连串监狱有关的文件也被泄露,其中包括A级监狱–沃尔克斯的朗拉廷监狱(Long Lartin)和卡姆布斯的怀特穆尔监狱(Whitemoor)。
Zaun公司不愿讨论赎金要求,一名安全专家将此事件称为“对我们国家安全基础设施的毁灭性打击”。
国防委员会主席、保守党议员托比亚斯·埃尔伍德(Tobias Ellwood)表示:“这将如何影响我们的国防机构在不受攻击威胁的情况下继续运作?“
“我们如何更好地保护自己防御俄罗斯的干扰,这无疑与我们支持乌克兰的立场有关?最后,这是冲突不再局限于传统战场的另一个例子,它现在包括数字领域,并对安全机构提出了越来越高的要求。”
据称,LockBit已向全球发出8000万英镑的赎金要求。自2020年以来,它一直受到FBI的关注。俄罗斯国民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫(Ruslan Magomedovich Astamirov)在美国被指控“参与在美国、亚洲、欧洲和非洲部署大量LockBit勒索软件和其他攻击”。
美国司法部表示:“LockBit勒索软件变种于2020年1月左右首次出现。LockBit参与者已执行了1400多次攻击,发出了超过1亿美元的要求,并收到了数千万美元的比特币。”
2022年,美国宣布对拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)提出指控。他目前被关押在加拿大,等待被引渡到美国。第二位俄罗斯人米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev)因“涉嫌参与”不同的LockBit阴谋而被通缉。
Zaun公司已向警方报警,其最新账目中的税前利润接近70万英镑。该公司表示:“LockBit有可能获得一些历史电子邮件、订单、图纸和项目文件。我们不认为系统中存储了机密文件,也不认为机密文件已被泄露。”
“我们已经联系了国家网络安全中心,并正在接受建议。Zaun是复杂网络攻击的受害者,并已采取一切合理措施来减轻对我们系统的任何攻击。”
“每一个细节都有助于敌人突破我们的防御”
安全与情报专家AnthonyGlees教授写道,这家公司的名字在德语中可能是“栅栏”的疑似,但英国公司Zaun的安全屏障似乎已经轰然倒塌。
包括英国核威慑力量所在地在内的敏感地点的安全设备的详细信息在暗网上泄露,这对英国的国家安全基础设施是毁灭性的打击。它显示了与俄罗斯有关的黑客可以轻松地随意破坏高强度计算机系统。
这批文件涉及高度安全的围栏专家 Zaun 公司为许多场所提供的设备。其中包括英国核潜艇基地法斯兰(Faslane)、最高机密的政府实验室波顿唐(Porton Down)和 GCHQ 的布德前哨基地。
任何敌对的情报机构都会不惜一切代价获取这些细节。
一位退休的英国情报官员曾经表示,情报就像腌鱼的骨头。就其本身而言,骨头似乎无关紧要——但是,将它们组合在一起,就构成了腌鱼。
换句话说,如果能接触到敏感地点的特定安全设备,敌对分子就能对那里的实际情况了如指掌。
敌人对英国国防资产的每一个细节都非常感兴趣。此前,苏格兰场和北爱尔兰警察局还发生过其他严重数据泄露事件。
国家安全是政府的核心职责。必须在黑客入侵之前将其阻止。草率的协议,尤其是供应商的协议,似乎是盔甲上的一个大的弱点。
讽刺的是,这家公司制造安全围栏以防止人们进入,却无意中让敌人进来了。
暗网勒索团伙LockBit最近几个月遇到了严重问题,其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥(Jon DiMaggio)报道的,他发布了他的勒索软件日记项目的第三部分。
LockBit采用了勒索软件即服务(RaaS)的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击,并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员(附属合作伙伴)分配,后者最多可获得75%的赎金。
“我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时,尚不完全清楚LockBit背后的人是否已经陷入了混乱,或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。
他补充说,LockBit在发布受害者数据时面临一些问题。他认为,该组织的成员试图利用两大暗网论坛(Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛)上的说服性宣传,来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反,该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示,这是由于该集团内部基础设施和低带宽的限制。
DiMaggio表示,LockBit最近升级了其基础设施以解决这些缺点。然而,这实际上是一种策略,旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道,尽管有最新声明,LockBit无法发布有关受害者的大量数据。
DiMaggio发布了他的主要发现:
一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作,但是在DiMaggio与LockBit团伙分享他这份报告中的发现后,LockBit团伙就从Tox上消失了。与此同时,DiMaggio收到了来自LockBit附属合作伙伴的消息,他们认为是DiMaggio入侵了该团伙。然后,DiMaggio收到了来自第三方的另一条消息,表明他们可能已经入侵了该团伙的基础设施。当时,尚不清楚LockBit团伙背后的人是否已经躲藏起来,或者只是在休息,但他们没有活动的情况非常明显,DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。
二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传,并在犯罪论坛上进行大肆宣扬,以掩盖其经常无法持续发布被盗数据的事实。相反,它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故,除了附属合作伙伴之外,没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。
三、LockBit最近更新了其基础设施来解决这些问题 然而,这只是一个噱头,让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常,这是一个谎言和策略,目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样,通过其管理面板持续托管和发布大量受害者数据”的事实。此外,在过去的六个月里,LockBit提出了空洞的威胁,但在许多受害者拒绝付款后却没有采取任何行动。
四、附属合作伙伴正在离开LockBit,转而投奔其竞争对手 他们知道,尽管LockBit声称无法发布大量受害者数据。此外,他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。
LockBit团伙错过了最新的发布日期,无法生成更新的勒索软件变体来支持其附属合作伙伴。
五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件,用于自己的运营,并通过其管理面板提供。它希望提供点菜式的勒索软件产品,并成为黑客附属机构的一站式商店。
“暗网下/AWX”监测发现,近期,据称有俄罗斯政府背景的勒索软件团伙十分高产,继上周新增15名受害者后,LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者,而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统,导致数百万美国人的敏感医疗和健康信息被盗。
LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地,其中包括总部位于英国的Zaun(生产金属栅栏)、位于迪拜的DIFC法院(负责处理商业和一些民事纠纷)以及两家律师事务所:总部位于曼谷的Siam Premier和瑞典的Luterkort,后者自称是马尔默历史最悠久的律师事务所。
Zaun Limited(英国) Roxcel Trading(奥地利) St Mary’s School(南非) MEAF Machines(奥地利) Max Rappenglitz(德国) Siam Premier(泰国) Luterkort Advokatbyrå(瑞典) Majan(阿联酋) DIFC Courts(阿联酋) LockBit #ransomware group has added 8 victims to their #darkweb portal:
– Zaun Limited🇬🇧
– Roxcel Trading 🇦🇹
– St Mary's School 🇿🇦
– MEAF Machines 🇦🇹
– Max Rappenglitz 🇩🇪
– Siam Premier 🇹🇭
– Luterkort Advokatbyrå 🇸🇪
– Majan 🇦🇪
– DIFC Courts 🇦🇪#DeepWeb #CybeRisk #CTI pic.
“暗网下/AWX”发现,在暗网威胁情报公司DarkTracer质疑LockBit勒索软件团伙运营的Raas服务(勒索即服务)的可靠性有所下降后,紧接着,LockBit勒索软件团伙竟然在其暗网博客发布了针对网络安全公司DarkTrace的勒索信息,似乎该勒索团伙搞混了DarkTracer与DarkTrace。
The reliability of the RaaS service operated by LockBit ransomware gang seems to have declined. They appear to have become negligent in managing the service, as fake victims and meaningless data have begun to fill the list, which is being left unattended. pic.twitter.com/mfGhH93oYh
— Fusion Intelligence Center @ DarkTracer (@darktracer_int) April 12, 2023 4月12日,位于新加坡的暗网情报公司DarkTracer在其推特质疑了LockBit勒索软件团伙勒索信息的可靠性,该推文称,由LockBit勒索软件团伙运营的RaaS服务的可靠性似乎已经下降了,该团伙在管理该服务方面似乎变得疏忽了,因为虚假的受害者和无意义的数据已经开始充斥在勒索名单中,而这一勒索名单是无人管理的。
该推文附的截图可以看出,勒索名单中出现了1.com、123.com等虚假名单,内容也是重复这些域名,也就意味着,勒索名单里出现了假数据,却没有管理人员维护。
搞笑的是,4月13日,该勒索团伙在其暗网博客的勒索名单里添加了网络安全公司DarkTrace,附上了该公司的Logo,并在详情中表示:
darktrace.com
我喜欢黑暗追踪,谢谢你关注我的更新测试。如果你非常感兴趣的话,你所看到的是对服务器与服务器之间通信的测试改进。
所有可用的数据已经发布。
根据维基百科,Darktrace是一家英美的信息技术公司,专门从事网络防御工作。该公司成立于2013年,总部设在英国剑桥和美国加州的旧金山。它在伦敦证券交易所上市,是富时250指数的成分股之一。
Darktrace在LockBit勒索软件团伙的泄密网站上被点名后,于周四发表了一份声明。
“今天早上早些时候,我们了解到来自网络犯罪团伙LockBit的帖子,声称他们已经破坏了Darktrace的内部安全系统并访问了我们的数据。我们的安全团队对我们的内部系统进行了全面审查,没有发现任何证据。”Darktrace说。
“所有LockBit社交媒体帖子都没有链接到任何受损的Darktrace数据。我们将继续密切关注这一情况,但根据我们目前的调查,我们相信我们的系统仍然是安全的,所有的客户数据都受到充分保护。”它补充道。
该声明是在LockBit的泄密网站上的一个帖子似乎表明该勒索软件集团已经瞄准了Darktrace之后发表的。该帖子显示,Darktrace的数据被盗,网络犯罪分子要求100万美元的赎金。
DarkTracer与DarkTrace是两家不同的公司,很显然LockBit勒索软件团伙搞混了!!!Darktrace公司似乎并没有被LockBit入侵——甚至没有成为目标。相反,LockBit泄密网站上的新增条目显然是对新加坡暗网威胁情报公司DarkTracer最近发布的推文的回应,该推文与Darktrace公司没有任何关系。
其实,LockBit勒索软件团伙已经伪造假数据很久了,比如在知名网络安全巨头Mandiant发布报告称“美国政府于2019年制裁的长期网络犯罪集团Evil Corp.的附属机构已转向使用LockBit 2.0现成的勒索软件来逃避制裁”后,LockBit勒索软件团伙在其勒索名单里添加了Mandiant,然而到最后也没有释出Mandiant的文件,证明是在造假。
“暗网下/AWX”曾报道LockBit勒索软件组织发布“LockBit 3.0”,推出多个暗网镜像网站,引入第一个勒索软件漏洞赏金计划。近日,在LockBit勒索软件团伙声称对7月份针对网络安全巨头Entrust的网络攻击负责后,据称Entrust已经开始反击,直接D死LockBit勒索软件团伙的暗网页面。
自称是身份、支付和数据保护领域的全球领导者的Entrust在7月底表示,一个“未经授权的一方”访问了其部分网络,但拒绝描述这次攻击的性质,也没有说客户数据是否被盗。Entrust的客户包括一些美国政府机构,包括国土安全局、能源部和财政部。
周五,LockBit,一个著名的勒索软件团伙,以前曾声称对富士康和埃森哲的攻击,通过将Entrust加入其暗网泄漏网站,声称对7月份针对Entrust的网络攻击负责。该团伙本周末开始泄露该公司的内部数据,暗示Entrust可能拒绝满足该团伙的赎金要求。
但不久之后,一次明显的分布式拒绝服务(DDoS)攻击迫使LockBit的暗网泄露网站下线。
思科Talos的安全研究员Azim Shukuhi引用了一位名为“LockBitSupp”的LockBit成员的话,他声称该网站“每秒从1000多台服务器接收400个请求”。虽然DDoS攻击的肇事者仍然未知,但同一名LockBit成员告诉Bleeping Computer,攻击“在公布数据和谈判后立即开始”,并分别告诉恶意软件研究组织VX-Underground,他们认为攻击是由与Entrust有关的人发起的,因为攻击使用了“DELETE_ENTRUSTCOM_MOTHERFUCKERS”的User-Agent头信息。
Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Lockbit: pic.twitter.com/HUO2hdTbwz
— vx-underground (@vxunderground) August 21, 2022 LockBit的网站周一仍然基本上无法访问,但短暂显示了一条消息,警告该团伙计划将Entrust被盗数据上传到点对点网络,使数据几乎不可能被删除。
根据美国法律,攻击性网络攻击——或“反击”网络犯罪分子,例如对不情愿的参与者发起DDoS攻击——是非法的,根据《计算机欺诈和滥用法案》可被归类为联邦刑事犯罪。多年来,作为保护美国公司免受国际威胁的一种可能替代方案,黑客回击的方案一直受到激烈争论,尽管批评人士表示,允许私营公司参与网络战可能会加剧外交紧张局势,并破坏国家关系的稳定。
或者,正如一位安全研究人员所说:“网络安全公司将围绕DDoS进行攻击的想法将建立一个危险的先例。”
“暗网下/AWX”访问了LockBit勒索软件团伙的暗网域名:http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
发现,目前LockBit勒索软件团伙仍然无法抵抗他们的暗网网站所遭受的DDoS攻击,他们暂时在他们的一个Tor域名上放置了一条消息:
有没有人知道一个好的BT种子站,我可以在那里上传贪婪的entrust.com的文件?请联系Tox:3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
推特用户Azim Shukuhi(@AShukuhi)称其问LockBit周末过得怎么样以及DDOS攻击是否仍在继续,LockBit回复:“你好,正常的周末,在DDOS的帮助下精力充沛,已经安装了100500个镜像站点和现代化的保护措施。这不仅仅是生活,而是某种派对。在此之前实际上有点无聊。”
I asked LB how the weekend went & if the ddos attack was still going on. reply: "hello, normal weekend, got energized w/ the ddos, putting up 100500 mirrors & modernizing protections.
LockBit勒索软件组织近期正式发布了“LockBit 3.0”,改进了勒索网站的UI设计,在暗网上推出了该组织的官方博客网站、展示入侵证据的文件网站、与受害者交流的聊天网站,并为这些网站设置了数十个官方镜像;在勒索软件组织群体中第一个引入了勒索软件漏洞赏金计划,以换取其自身的漏洞;并增强了新的勒索策略,增加了Zcash加密货币支付选项。
LockBit 3.0正式发布 LockBit勒索软件组织于2019年启动,此后已发展成为最多产的勒索软件组织,占2022年5月所有已知勒索软件攻击的40%。
该网络犯罪团伙在过去两个月进行了beta测试后,发布了一项名为LockBit 3.0的改进后的勒索软件即服务(RaaS)操作,新版本已用于攻击。
虽然尚不清楚对加密工具进行了哪些技术更改,但赎金票据不再命名为“Restore-My-Files.txt”,而是改为命名格式[id].README.txt,如下所示。
新的LockBit网站由三个网站组成 LockBit勒索软件组织在暗网上推出了三个网站,分别是该组织的官方博客网站、展示入侵证据的文件网站、与受害者交流的聊天网站,并为这些网站设置了数十个官方镜像,网站界面很豪华炫丽。
博客网站及其镜像(域名以lockbitapt打头):
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onion
http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
http://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onion
http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion
http://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion
http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion
http://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion
http://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onion
展示入侵证据的文件网站及其镜像(域名以lockbit7z打头):
http://lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion
http://lockbit7z2mmiz3ryxafn5kapbvbbiywsxwovasfkgf5dqqp5kxlajad.onion
http://lockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd.onion
http://lockbit7z355oalq4hiy5p7de64l6rsqutwlvydqje56uvevcc57r6qd.onion
http://lockbit7z36ynytxwjzuoao46ck7b3753gpedary3qvuizn3iczhe4id.onion
http://lockbit7z37ntefjdbjextn6tmdkry4j546ejnru5cejeguitiopvhad.onion
http://lockbit7z3azdoxdpqxzliszutufbc2fldagztdu47xyucp25p4xtqad.onion
http://lockbit7z3ddvg5vuez2vznt73ljqgwx5tnuqaa2ye7lns742yiv2zyd.onion
http://lockbit7z3hv7ev5knxbrhsvv2mmu2rddwqizdz4vwfvxt5izrq6zqqd.onion
http://lockbit7z3ujnkhxwahhjduh5me2updvzxewhhc5qvk2snxezoi5drad.onion
http://lockbit7z4bsm63m3dagp5xglyacr4z4bwytkvkkwtn6enmuo5fi5iyd.onion
http://lockbit7z4cgxvictidwfxpuiov4scdw34nxotmbdjyxpkvkg34mykyd.onion
http://lockbit7z4k5zer5fbqi2vdq5sx2vuggatwyqvoodrkhubxftyrvncid.onion
http://lockbit7z4ndl6thsct34yd47jrzdkpnfg3acfvpacuccb45pnars2ad.onion
http://lockbit7z55tuwaflw2c7torcryobdvhkcgvivhflyndyvcrexafssad.onion
http://lockbit7z57mkicfkuq44j6yrpu5finwvjllczkkp2uvdedsdonjztyd.onion
http://lockbit7z5ehshj6gzpetw5kso3onts6ty7wrnneya5u4aj3vzkeoaqd.onion
http://lockbit7z5hwf6ywfuzipoa42tjlmal3x5suuccngsamsgklww2xgyqd.onion
http://lockbit7z5ltrhzv46lsg447o3cx2637dloc3qt4ugd3gr2xdkkkeayd.onion
http://lockbit7z6choojah4ipvdpzzfzxxchjbecnmtn4povk6ifdvx2dpnid.onion
http://lockbit7z6dqziutocr43onmvpth32njp4abfocfauk2belljjpobxyd.onion
http://lockbit7z6f3gu6rjvrysn5gjbsqj3hk3bvsg64ns6pjldqr2xhvhsyd.onion
http://lockbit7z6qinyhhmibvycu5kwmcvgrbpvtztkvvmdce5zwtucaeyrqd.onion
http://lockbit7z6rzyojiye437jp744d4uwtff7aq7df7gh2jvwqtv525c4yd.onion
与受害者交流的聊天网站及其镜像(域名以lockbitsup打头):
http://lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd.onion
http://lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd.onion
http://lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd.onion
http://lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad.onion
http://lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd.onion
http://lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd.onion
http://lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd.onion
http://lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd.onion
http://lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd.onion
第一个由网络犯罪团伙发起的漏洞赏金计划 这一次,LockBit黑客通过启动有史以来第一个由网络犯罪团伙发起的漏洞赏金计划而成为头条新闻。
随着LockBit 3.0的发布,该行动引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告,以换取1000至100万美元的奖励。
“我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从1000美元到100万美元不等。”LockBit 3.0漏洞赏金页面写道。
然而,这个漏洞赏金计划与合法公司通常使用的有点不同,因为在许多国家帮助犯罪企业是非法的。
此外,LockBit不仅为自身漏洞奖励提供赏金,而且还为改进勒索软件操作和对附属项目老板进行人肉搜索的“绝妙想法”提供赏金。
以下是LockBit3.0操作提供的各种错误赏金类别:
网站漏洞:XSS漏洞、mysql注入、获取站点shell等,将根据Bug的严重程度付费,主要方向是通过网站漏洞获取解密器,以及获得与加密公司的通信历史。
加密工具的错误:加密工具在加密过程中出现的任何错误,导致文件损坏或在没有得到解密器的情况下可能解密文件。
绝妙的想法:我们为想法付费,请写信告诉我们如何改进我们的网站和我们的软件,最好的想法将得到报酬。我们的竞争对手有什么有趣的地方是我们所没有的?
人肉搜索:我们会为联盟计划老板的人肉搜索支付100万美元,不多也不少。无论您是联邦调查局特工还是非常聪明的黑客,知道如何找到任何人,您都可以给我们写一个TOX messenger,告诉我们您发现的老板的名字,并为此获得100万美元的比特币或门罗币。