LockBit勒索软件的一项功能允许攻击者在数小时内破坏公司网络并部署勒索软件来加密数百台设备。2019年9月,LockBit是一种相对较新的勒索软件即服务(RaaS),开发人员为网站和开发付费,并注册附属公司来分发勒索软件。LockBit赎金作为此设置的一部分,LockBit开发人员将收取一定比例的赎金,通常约为25%至40%,而附属公司将获得更大份额的赎金,约为60%至75%。三小时内成功加密在McAfeeLabs和网络安全公司Northwave的研究人员共同撰写的一份新报告中,我们了解了单个LockBit勒索软件如何破坏公司网络并加密了大约25个公司网络。服务器和225个工作站。而且只需要三个小时就可以完成。根据Northwave的网络安全专家帕特里克·范·卢伊(PatrickVanLooy)的说法,黑客通过过时的VPN服务强制管理员帐户访问网络。大多数网络攻击都是在黑客攻破网络获取管理员账号后进行的,但他们跳过这一步直接获取管理员账号权限,可以快速在网络中部署勒索软件。Looy通过电子邮件告诉BleepingComputer,在这种典型情况下,通过暴力破解VPN获得访问权限后,攻击者几乎可以立即启动勒索软件。攻击者在凌晨1:00左右获得初始访问权限,之后勒索软件启动,在凌晨4:00左右,攻击者注销。虽然并非网络上的所有设备都经过加密,但这很可能是勒索软件中的一个错误导致它崩溃的结果。但是,对于那些已经加密的系统,可以通过LockBit内置的功能快速完成。LockBit传播McAfee的分析表明,LockBit勒索软件包含一项允许其传播到网络上其他计算机的功能。执行时,LockBit除了加密设备的文件外,还会执行ARP请求以查找网络上的其他活动主机,然后尝试通过SMB连接到它们。通过SMB连接到其他计算机如果勒索软件能够通过SMB连接到计算机,它将发出远程PowerShell命令来下载并执行勒索软件。下载并执行LockBit勒索软件命令网络上越来越多的计算机被感染,这些被感染的计算机有助于加速勒索软件部署到网络上的其他计算机。此功能允许攻击者在短短三个小时内自动破坏网络并加密225台计算机。攻击速度越快,被发现的机会就越少当攻击者破坏网络时,他们在网络中移动的时间越长,被发现的机会就越大。因此,与更高级和熟练的攻击者相比,技能较低的黑客会更频繁地被发现,因为他们试图在网络中横向传播。然而,像这样的勒索软件可以自动传播,让初学者更容易完成攻击。Looy告诉BleepingComputer:“这与我们经常遇到的情况不同,我们看到攻击者在部署勒索软件之前在网络上停留数天甚至数周。然而,这一次,攻击者只在网络上停留了很短的时间。然而,在这种特殊情况下,攻击者不需要那么熟练的技术。在获得(管理员)访问权限后,他可以启动勒索软件,勒索软件可以自动传播。随着勒索软件部署速度和易用性的提高,我们将看到LockBit继续增长,威胁更多设备。
