最近半年,有数款新兴的勒索软件发动攻击,其中自今年6月推出2.0版的LockBit(也称为ABCD),不仅攻击大型IT顾问公司Accenture,也在澳洲造成灾情,使得当地的网络安全中心(ACSC)发布安全通报,提出缓解措施让企业加以防范。而最近,安全企业Palo Alto Networks也对于这款勒索软件提出警告,并指出在黑客组织推出LockBit 2.0之后,短短2个月就有52个组织成为受害者。
勒索软件LockBit自2019年9月出现,开发者以订阅制度提供给买家运用,该勒索软件其中一项特性是加密文件的速度,号称在业界名列前茅。而最近引进安全研究人员关注的原因,就是该勒索软件的开发者推出了LockBit 2.0大改版,根据ACSC提到后继版本的新功能,是加入名为StealBit的窃密能力。
而对于迄今遭到LockBit 2.0攻击的组织,Palo Alto指出,涵盖的行业与国家可说是相当广泛,攻击者入侵的52个组织,包含会计、汽车、顾问、工程、财务、高科技、医疗、保险、执法单位、法律服务、制造业、非营利能源产业、零售业、物流业,以及公共业务领域等。
攻击者下手目标的国家,除了日前发出警告的澳洲之外,还包含阿根廷、奥地利、比利时、巴西、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国,以及美国。
经营LockBit 2.0的黑客宣称,他们的勒索软件加密速度又再度进化,在搭载Xeon E5-2680中央处理器的测试主机上,每秒能加密373MB文件,加密100GB资料在4分半就能完成;相较今年2月的旧版LockBit,加密速度为每秒266MB,可说是快上不少,而LockBit 2.0的文件加密速度,更是第3名勒索软件Cuba(每秒185MB)的2倍。Palo Alto表示,卖家为了吸引攻击者采用他们的勒索软件订阅服务,他们还制作比较表。
与许多勒索软件相同的是,LockBit 2.0在加密计算机文件之后,会更换壁纸显示勒索消息。但比较特别的是,这个壁纸也包含了利诱用户的消息,表明他们征求能入侵企业或组织的账号资料,像是远程桌面连接(RDP)、VPN、公司电子邮件信箱等,号称提供这类资料的用户,有机会赚得数百万美元,黑客留下名为Tox的即时通信软件ID,让想要参与的人能跟他们联系。
LockBit 2.0在加密文件之后,会将壁纸更换为“重要文件已全被加密”的消息,但比起许多勒索软件会在壁纸说明要如何支付赎金、或者是不要关掉计算机以免资料无法恢复等警告,我们可以看到LockBit 2.0的消息下半部有一大段浅灰色文本,但这段消息与勒索受害计算机没有直接关系,而是祭出高额的分红,想要征求可以访问其他企业内部网络的帐密资料。