關於 LockBit 勒索軟體家族您需要了解的一切

如果您經常了解網路安全威脅的最新情況，您可能就會知道勒索軟體已經變得多麼危險和普遍。此類惡意軟體對個人和組織構成重大威脅，其中多種病毒株現已成為惡意行為者的首選，其中包括 LockBit。

那麼 LockBit 是什麼，它從哪裡來，以及如何保護自己免受這種勒索軟體的侵害？

什麼是 LockBit 勒索軟體？

儘管 LockBit 最初是一個勒索軟體家族，但此後它已經發展了多次，最新版本被稱為「LockBit 3.0」。 LockBit 包括一系列勒索軟體程序，使用勒索軟體即服務 (RaaS) 模型運行。

勒索軟體即服務是一種商業模式，涉及用戶付費存取某種類型的勒索軟體，以便他們可以將其用於自己的攻擊。透過這種方式，該用戶成為會員，他們的付款可以包括固定費用或基於訂閱的服務。簡而言之，LockBit 的創建者找到了一種方法，透過使用這種 RaaS 模型從其使用中獲取更多利潤，甚至可能獲得受害者支付的贖金。

其他幾個勒索軟體程式可以透過 RaaS 模型訪問，包括 DarkSide 和 REvil。此外，LockBit 是當今最受歡迎的勒索軟體之一。

鑑於 LockBit 是勒索軟體系列，其用途涉及加密目標檔案。網路犯罪分子會以一種或另一種方式滲透受害者的設備，可能是透過網路釣魚電子郵件或惡意附件，然後使用 LockBit 加密設備上的所有文件，使用戶無法存取。

一旦受害者的檔案被加密，攻擊者就會要求贖金以換取解密金鑰。如果受害者不遵守並支付贖金，攻擊者很可能會在暗網上出售資料以獲取利潤。根據資料的內容，這可能會對個人或組織的隱私造成不可逆轉的損害，從而可能增加支付贖金的壓力。

但這種極度危險的勒索軟體從何而來？

LockBit 勒索軟體的起源

目前尚不清楚 LockBit 的具體開發時間，但自 2019 年首次發現以來，它就得到了認可。這項發現是在第一波 LockBit 攻擊之後發現的，當時勒索軟體最初被命名為“ABCD”，參考攻擊中利用的加密檔案的副檔名。但當攻擊者開始使用「.lockbit」檔案副檔名時，勒索軟體的名稱會變更為現在的名稱。

在開發第二個版本 LockBit 2.0 後，LockBit 的受歡迎程度有所提高。 2021年底，LockBit 2.0越來越多地用於攻擊，隨著其他勒索軟體團伙的倒閉，LockBit得以利用市場空白。

事實上，根據Palo Alto 的一份報告，LockBit 2.0 的日益普及鞏固了其作為“我們在2022 年第一季度觀察到的所有勒索軟體洩露中部署最廣泛、最具影響力的勒索軟體變體”的地位。最重要的是，帕洛阿爾託在同一份報告中表示，LockBit 的營運商聲稱擁有當前活躍的勒索軟體中速度最快的加密軟體。

LockBit 勒索軟體已在全球多個國家檢測到，包括中國、美國、法國、烏克蘭、英國和印度。一些大型組織也成為 LockBit 的攻擊目標，其中包括愛爾蘭裔美國專業服務公司埃森哲 (Accenture)。

埃森哲在 2021 年使用 LockBit 遭遇資料洩露，攻擊者索要高達 5,000 萬美元的贖金，其中包含超過 6TB 的加密資料。埃森哲不同意支付這筆贖金，儘管該公司確認沒有客戶受到攻擊的影響。

LockBit 3.0及其風險

隨著 LockBit 越來越受歡迎，每個新變體都令人真正擔憂。 LockBit 的最新版本（稱為 LockBit 3.0）已成為一個問題，尤其是在 Windows 作業系統中。

2022 年夏天，LockBit 3.0 被用來透過 Windows Defender 漏洞在目標裝置上載入惡意Cobalt Strike有效負載。在這波攻擊中，名為 MpCmdRun.exe 的可執行命令列檔案被濫用，使得 Cobalt Strike 信標可以繞過安全性偵測。

LockBit 3.0 也被用來利用名為 VMwareXferlogs.exe 的 VMWare 命令列來再次部署 Cobalt Strike 有效負載。目前尚不清楚這些攻擊是否會繼續或演變成完全不同的攻擊。

顯然，LockBit 勒索軟體與許多勒索軟體程式一樣具有高風險。那麼如何確保自己的安全呢？

如何保護自己免受 LockBit 勒索軟體的侵害

由於 LockBit 勒索軟體必須先存在於您的裝置上才能加密文件，因此您需要先完全防止感染。雖然很難保證勒索軟體防護，但您可以做很多事情。

首先，切勿從不完全合法的網站下載任何檔案或軟體程式。將任何類型的未經驗證的檔案下載到您的裝置都可以使勒索軟體攻擊者輕鬆存取您的檔案。確保您僅使用受信任且評級良好的網站進行下載或使用官方應用程式商店來安裝軟體。

另一個需要記住的因素是 LockBit 勒索軟體通常透過遠端桌面協定 (RDP) 傳播。如果您不使用該技術，則無需太擔心。但是，如果您這樣做，請務必透過使用密碼保護、VPN 以及在不直接使用時停用該協定來保護您的 RDP 網路。勒索軟體業者經常掃描網路上是否有易受攻擊的 RDP 連接，因此增加額外的保護層將使您的 RDP 網路不易受到攻擊。

勒索軟體還可以透過網路釣魚傳播，這是惡意行為者使用的一種極其常見的感染和資料竊取方法。網路釣魚最常透過電子郵件部署，攻擊者會將惡意連結附加到電子郵件正文，並說服受害者點擊該連結。此連結將指向一個可能促進惡意軟體感染的惡意網站。

可以透過多種方式避免網路釣魚，包括使用反垃圾郵件功能、連結檢查網站和防毒軟體。您還應該驗證任何新電子郵件的寄件者地址並掃描電子郵件中的拼字錯誤（因為網路釣魚電子郵件通常包含許多拼字和語法錯誤）。

LockBit 繼續成為全球威脅

LockBit 持續成長並瞄準越來越多的受害者：這種勒索軟體不會很快出現。為了確保您免受 LockBit 和勒索軟體的侵害，請考慮上面的一些提示。雖然您可能認為自己永遠不會成為目標，但無論如何您都應該採取必要的預防措施。