By: 23pds@SlowMist

团队背景

2019 年 9 月,LockBit 勒索病毒首次正式亮相,其因使用后缀名 .abcd 来标记已加密的受害者文件,被称为“ABCD”勒索软件。早期版本 LockBit 1.0 非常不成熟,作案过程中加密软件不仅使用固定的互斥锁,甚至会残留一些易被杀毒软件、沙箱等安全软件识别和拦截的 debug 函数。

随着组织规模不断发展,LockBit 1.0 开始采用 RaaS(Ransomware-as-a-service 勒索软件及服务) 模式运营,即开发并分发勒索软件工具供其他恶意行为者使用,并在一个著名的俄语论坛 XSS 上为其合作计划进行推广。

八个月后,LockBit 1.0 勒索软件运营商又升级了勒索策略,创建了一个用于公开受害者数据的站点,配合文件加密,试图进一步施压受害者,以期达成“双重勒索”的目的。

经过几次小的升级后,相较于其他勒索软件,LockBit 1.0 作案手段更为高超。针对 Windows 系统的加密过程采用 RSA + AES 算法加密文件,使用 IOCP 完成端口 + AES-NI 指令集提升工作效率,从而实现高性能加密流程,一旦成功加密文件,所有受害者的文件会被添加无法破解的 .abcd 扩展后缀。

LockBit 勒索软件 1.0 时期,主要通过修改受害者系统桌面壁纸来显示勒索信息,并留下名为 Restore-My-Files.txt 的勒索信,要求受害者登录暗网,用比特币或门罗币缴纳赎金。

后来这个团伙因多起引人注目的攻击而成名。例如,在 2022 年 6 月,他们推出了 LockBit 3.0 版本,并包含了一个漏洞赏金计划,邀请安全研究人员测试并改进他们的软件。为发现系统漏洞提供奖励,这在勒索软件中是一个独特的做法。

自开始运作以来,LockBit 在网络安全方面产生了显著影响,其攻击通常导致受害方的敏感数据被盗和财务损失。

“辉煌”历史

全球头号勒索团伙LockBit谜案及链上地址分析

在 2022 年 5 月份之前,LockBit 几乎是一骑绝尘,在全球范围内打穿超过 850 家企业机构的防御系统,占同时间段内所有勒索软件相关攻击事件的 46%。

RaaS 代理模式:

全球头号勒索团伙LockBit谜案及链上地址分析

攻击方式:

全球头号勒索团伙LockBit谜案及链上地址分析

据网络安全公司 Dragos 的数据,2022 年第二季度针对工业系统的勒索软件攻击中,约有三分之一是由 LockBit 发起的,对工控领域内不少大型企业造成了巨大的打击。而 Deep Instinct 发布的报告指出,在 2022 上半年,LockBit 发起的勒索攻击约占总攻击数的 44%。

短短三年,LockBit 勒索软件团伙的受害者数量已高达一千多个,是老牌勒索软件组织 Conti 的 2 倍,更是 Revil 的 5 倍有余。

值得一提的是,LockBit 勒索组织的赎金获得率也在诸多老牌勒索组织之上。就 2022 年的数据来看,其提出的 1 亿美元的赎金需求中,勒索成功率超过一半,令无数企业闻风丧胆。

全球头号勒索团伙LockBit谜案及链上地址分析

现状

鉴于此,该团伙引起了全球执法机构的关注。2022 年 11 月,美国司法部(DoJ) 指控拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev) 涉嫌参与 LockBit 勒索软件行动。该男子目前在加拿大被拘留,正在等待引渡到美国。

5 月,俄罗斯国民 Mikhail Pavlovich Matveev(30 岁),又名 Wazawaka、m1x、Boriselcin 和 Uhodiransomwar,被美国司法部指控参与了多次勒索软件攻击。

美国司法部公布了两份起诉书,指控该男子使用三种不同的勒索软件对美国各地众多受害者进行攻击,包括华盛顿特区和新泽西州的执法机构,以及全国医疗保健和其他部门的组织:

  • 2020 年 6 月 25 日前后,Matveev 和其 LockBit 同谋攻击了新泽西州帕塞克县的一家执法机构;
  • 2021 年 4 月 26 日,Matveev 和其 Babuk 同谋攻击了华盛顿特区的大都会警察局;
  • 2022 年 5 月 27 日前后,Matveev 和其 Hive 同谋攻击了新泽西州的一家非营利性行为保健组织。
  • 2024 年 2 月 19 日,臭名昭著的勒索团伙 LockBit 网站在英国国家犯罪局、美国联邦调查局、欧洲刑警组织和国际警察机构联盟的联合执法行动中被查封:

全球头号勒索团伙LockBit谜案及链上地址分析

treasury.gov 公布相关的制裁信息涉及人员信息、 BTC 和 ETH 地址等:

全球头号勒索团伙LockBit谜案及链上地址分析

我们使用 MistTrack 看下被制裁的 ETH 地址(0xf3701f445b6bdafedbca97d1e477357839e4120d) 的资金情况:

全球头号勒索团伙LockBit谜案及链上地址分析

全球头号勒索团伙LockBit谜案及链上地址分析

全球头号勒索团伙LockBit谜案及链上地址分析

分析发现,该 ETH 地址上的资金已被洗完。

接着,我们分析被制裁的 BTC 地址的情况,发现这几个地址中最早的交易可追溯到 2019 年 10 月,最近的交易可追溯到 2023 年 3 月,且各地址上的相关资金均已被转移。

其中,接收金额最大的地址为 18gaXypKj9M23S2zT9qZfL9iPbLFM372Q5,该地址为 LockBit 关联公司 Artur Sungatov 的地址,被 MistTrack 标记为 Binance Deposit 地址,且资金已被转移。

全球头号勒索团伙LockBit谜案及链上地址分析

其次,地址 32pTjxTNi7snk8sodrgfmdKao3DEn1nVJM 接收金额 52.7892 BTC,该地址为 LockBit 关联公司 Ivan Kondratyev 的地址,被 MistTrack 标记为 Kucoin Deposit 地址,且该地址收到了另一个被制裁地址 bc1qx9upga7f09tsetqf78wa3qrmcjar58mkwz6ng6 转入的 0.4323 BTC。

全球头号勒索团伙LockBit谜案及链上地址分析

美国政府联合英国和欧洲刑警组织公布了有关 LockBit 勒索软件组织的更多信息,他们还透露 LockBit 拥有 193 家分支机构:

全球头号勒索团伙LockBit谜案及链上地址分析

被抓谜团

据英国国家犯罪局发言人称,LockBit 的服务已经中断,这是一项持续且发展中的行动。此次行动是执法机构与勒索团伙之间多年斗争的最新举措,对 LockBit 的近期跨国勒索运营造成有力打击,也对日益猖獗的勒索攻击形成有效威慑。

我们查看 LockBit 的节点,每个已知的 LockBit 勒索软件组织网站要么离线,要么显示被 EUROPOL 查封的页面。执法部门已查封或拆除了至少 22 个 Tor 站点,这被称为 “克罗诺斯行动”。

全球头号勒索团伙LockBit谜案及链上地址分析

全球头号勒索团伙LockBit谜案及链上地址分析

在这之后,LockBit 勒索软件集团管理人员向媒体确认他们的网站已被查封:

全球头号勒索团伙LockBit谜案及链上地址分析

但是,似乎这次查封并没有影响到 LockBit 核心人员,随后 LockBit 勒索软件组织向 Tox 上的个人发布了一条消息:“FBI 搞砸了使用 PHP 的服务器,没有 PHP 的备用服务器没有受到影响。”

全球头号勒索团伙LockBit谜案及链上地址分析

今天剧情发生了反转,LockBit 领导层声明:我们就执法部门宣布将于 2024 年 2 月 23 日星期五公布 LockBit 领导层的事宜与 LockBit 勒索软件组织的管理人员进行了交谈。

LockBit 回复道:“让他们透露吧,我确信他们不知道我的身份。”进而,LockBit 勒索软件组将名字改为“FBI Supp”,用来嘲讽执法机构:

全球头号勒索团伙LockBit谜案及链上地址分析

据 @vxunderground 消息,现在看来最终的主谋似乎并没有被抓获,甚至 LockBit 公开悬赏更大的金额来让大众寻找自己。

全球头号勒索团伙LockBit谜案及链上地址分析

到这里故事越来越精彩,执法机构声称未来几天会发布更多 LockBit 组织信息。

后事如何?我们拭目以待。

总结

这次打击行动是对勒索软件团伙的一系列执法举措中最新的一环。去年底,美国联邦调查局和其他机构已经成功摧毁了 Qakbot、Ragnar Locker 等多个勒索软件团伙的网络和基础设施。

在最近的慕尼黑网络安全会议上,美国司法部副部长强调了美国对抗勒索软件和网络犯罪的决心,提出将采用更快速、主动的策略,以预防和破坏这些犯罪活动为重点。

随着数字技术的发展,依赖加密货币的网络犯罪已经成为全球性的重大挑战。勒索软件等网络犯罪不仅给个人和企业带来损失,而且对整个社会构成了严重风险。据统计,去年网络犯罪分子向全球的受害者勒索超过 11 亿美元。

此外,勒索软件治理是网络攻击者和安全人员双方的较量,需要耐心、策略、时机。

以 LockBit 勒索软件为例,其持续迭代更新每一个版本的攻击方式、策略、入侵点等,这使得安全人员很难形成完备的修复体系。因此,在勒索软件治理过程中,预防远远比修复更重要,要采取系统化、综合施策、系统治理、多方联合的方式,形成预防勒索软件的围墙,强烈建议大家做好以下防护措施:

  • 尽可能使用复杂密码:企业内部在设置服务器或者内部系统密码时,应采用复杂的登录凭证,例如必须包括数字、大小写字母、特殊符号,且长度至少为 8 位的密码,并定期更换口令。
  • 双重验证:对于企业内部敏感信息,需要基于密码的登录基础上,增加其他层防御以阻止黑客攻击,例如在部分敏感系统上安装指纹、虹膜等生物识别验证或使用物理 USB 密钥身份验证器等措施。
  • 四不要:不要点击来源不明邮件;不要浏览色情、赌博等不良信息网站;不要安装来源不明软件,谨慎安装陌生人发送的软件;不要随意将来历不明的 U 盘、移动硬盘、闪存卡等移动存储设备插入设备。
  • 数据备份保护:防止数据丢失的真正保障永远是离线备份,因此,对关键数据和业务系统做备份十分必要。注意,备份要清晰,标注每个阶段的备份,确保在某个备份受到恶意软件感染时能够及时找回。
  • 要常杀毒、关端口:安装杀毒软件并定期更新病毒库,定期全盘杀毒;关闭不必要的服务和端口(包括不必要的远程访问服务 3389 端口、22 端口和不必要的 135、139、445 等局域网共享端口等)。
  • 加强员工安全意识:安全生产最大的隐患在于人员,钓鱼、社工、投毒、弱密码等,这些关键因素都与人员的安全意识息息相关,因此要做好整体的安全加固和防御能力提升,就要切实提升人员的安全意识。
  • 及时给办公终端和服务器打补丁:对操作系统以及第三方应用及时打补丁,防止攻击者通过漏洞入侵系统。

致谢:WuBlockchain、@vxunderground、希潭实验室、云鼎实验室

参考

[1] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[2] https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group

[3] https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

[4] https://ofac.treasury.gov/recent-actions/20240220