LockBit 2.0勒索软件大举侵袭澳洲,当地网络安全中心发布警告

黑客利用勒索软件LockBit 2.0攻击的现象,最近出现数起事故。例如,于8月11日,运用该勒索软件的黑客,宣称攻陷IT大型顾问公司Accenture,并要求限时支付赎金,否则就要把窃得的资料公开。针对勒索软件LockBit 2.0的攻击事故已有数起,澳洲网络安全中心(ACSC)提出警告,表示他们近期屡屡接获当地企业通报,发生遭到LockBit 2.0攻击的事故。

针对此波LockBit 2.0攻击,ACSC也通过MITRE ATT&CK框架,描叙黑客在攻击过程中会采用的手法,并提出缓解措施。

勒索软件LockBit(又被称为ABCD)最早出现于2019年9月,而ACSC指出,开发这个攻击工具的开发者,自2021年1月在俄语网络犯罪论坛上销售,以订阅服务的形式提供给买家使用,并采用赎金抽成的方式获利。到了6月,开发者发布了后继版本“LockBit 2.0”,宣称添加了名为StealBit的窃密功能。

滥用LockBit的攻击者往往会使用双重勒索的招数,借由将偷得的机密资料,上传到位于暗网的LockBit 2.0网站,要胁受害组织付款,若是不从,就把这些资料出售或是公开。LockBit 2.0网站架设在洋葱路由网络(Tor network),而使得攻击者的行踪更加隐匿。

根据ACSC接获的事故通报,澳洲当地自2020年开始,传出遭到LockBit与LockBit 2.0攻击的情况,但该单位指出,大部分事故都是在2021年7月通报,这代表相较于其他的勒索软件,LockBit 2.0的攻击行动急剧增加。

对于LockBit 2.0入侵受害组织的渠道,ACSC表示,提供工具的开发者会建议买家,通过远程桌面连接(RDP)、VPN,并搭配外泄的帐密来进行,或者,建议买家使用Cobalt Strike与Metasploit等渗透测试工具,入侵攻击的目标。

但针对近期的攻击事件,ACSC指出,最近攻击者偏向利用Fortinet的SSL VPN漏洞CVE-2018-13379,这项漏洞存在于执行旧版FortiOS操作系统的网络设备,以及FortiProxy网络安全网关产品。

而究竟LockBit 2.0被用于攻击的对象为何?根据ACSC的观察,滥用此勒索软件的事故,发生在专业服务、建筑业、制造业、零售业,以及食品产业等多种行业之中,ACSC认为,攻击者挑选目标是随机的,因为该勒索软件能攻击不同的产业。