LockBit勒索軟件附屬機構(gòu)正在通過將惡意軟件偽裝成版權(quán)聲明，讓受害者的設(shè)備感染病毒。

這些電子郵件的收件人會收到有關(guān)侵犯版權(quán)的警告，據(jù)稱他們在未經(jīng)創(chuàng)作者許可的情況下使用了媒體文件。這些電子郵件要求收件人從他們的網(wǎng)站上刪除侵權(quán)內(nèi)容，否則他們將面臨法律訴訟。

韓國AhnLab的分析師發(fā)現(xiàn)這些電子郵件告訴收件人下載并打開附件以查看侵權(quán)內(nèi)容。

在針對韓國的攻擊活動中使用的網(wǎng)絡(luò)釣魚電子郵件

附件是一個受密碼保護的ZIP存檔，其中包含一個壓縮文件，該文件又具有偽裝成PDF文檔的可執(zhí)行文件，但實際上是NSIS安裝程序。這種壓縮包和密碼保護是為了逃避電子郵件安全工具的檢測。

如果受害者打開所謂的“PDF”以了解哪些圖像被非法使用，惡意軟件將使用LockBit 2.0勒索軟件加載和加密設(shè)備。

版權(quán)聲明和惡意軟件

雖然侵犯版權(quán)聲明的使用很有趣，但它對LockBit成員來說既不新穎也不專屬，因為許多惡意軟件分發(fā)活動都使用相同的誘餌。

BleepingComputer最近收到了大量此類電子郵件，經(jīng)過進(jìn)一步分析發(fā)現(xiàn)，這些電子郵件正在分發(fā)BazarLoader或Bumblebee惡意軟件加載程序。

使用侵犯版權(quán)的釣魚郵件誘餌推送惡意軟件

Bumblebee用于傳遞包括勒索軟件在內(nèi)的第二階段有效載荷，因此在您的計算機上打開其中一個文件可能會導(dǎo)致快速且災(zāi)難性的攻擊。

版權(quán)聲明如果不是直截了當(dāng)?shù)模且竽蜷_附件以查看違規(guī)詳細(xì)信息，那么它很可能不是真的。

LockBit 2.0占領(lǐng)頭部

根據(jù)NCC集團發(fā)布的5月威脅報告，當(dāng)月共報告236起勒索軟件攻擊，LockBit 2.0占40%。

LockBit 3.0 贖金記錄

臭名昭著的勒索軟件操作僅在5月就記錄了高達(dá)95名受害者，而Conti、BlackBasta、Hive和BlackCat總共有65名受害者。

這延續(xù)了Intel471所看到的趨勢，該趨勢將LockBit 2.0置于2021年第四季度最多產(chǎn)的勒索軟件之首，并進(jìn)一步鞏固了該組織作為最廣泛的威脅之一的地位。

LockBit 3.0發(fā)布

在進(jìn)行了兩個月的beta測試后，LockBit發(fā)布了一個改進(jìn)的勒索軟件即服務(wù)(RaaS)，稱為LockBit 3.0，新版本已用于攻擊。

雖然尚不清楚對加密器進(jìn)行了哪些技術(shù)更改，但贖金票據(jù)不再命名為“Restore-My-Files.txt”，而是改為命名格式[id].README.txt，如下所示。

LockBit 3.0 贖金記錄

LockBit 3.0 漏洞賞金計劃

隨著LockBit 3.0的發(fā)布，該行動引入了勒索軟件團伙提供的第一個漏洞賞金計劃，要求安全研究人員提交漏洞報告以換取獎勵。

“我們邀請地球上所有安全研究人員、道德和不道德的黑客參與我們的漏洞賞金計劃。報酬金額從1000美元到100萬美元不等，”LockBit 3.0漏洞賞金頁面上寫道。

LockBit 3.0漏洞賞金計劃

此外，LockBit不僅為漏洞獎勵提供賞金，還為改進(jìn)勒索軟件和對聯(lián)盟項目經(jīng)理進(jìn)行人肉搜索的“絕妙想法”提供賞金。他們4月曾在XSS黑客論壇上提供100萬美元的獎勵，用于識別被稱為LockBitSupp的聯(lián)盟經(jīng)理。

LockBitSupp向任何識別他們的人提供100萬美元的賞金

即將推出的ZCash付款方式

當(dāng)打開LockBit 3.0協(xié)商和數(shù)據(jù)泄露站點的Tor站點時，訪問者會看到一個動畫徽標(biāo)，其周圍有各種加密貨幣圖標(biāo)。

此動畫中顯示的加密貨幣圖標(biāo)是門羅幣和比特幣，也包括稱為Zcash的隱私幣。

LockBit 3.0 網(wǎng)站上的新加密貨幣動畫

加密貨幣追蹤公司和執(zhí)法部門的查獲一再表明，比特幣是可以追蹤的，雖然門羅幣是一種隱私幣，但絕大多數(shù)美國加密貨幣交易所都不出售它。

Zcash也是一種隱私幣，更難追蹤。它目前在美國最受歡迎的加密貨幣交易所Coinbase上出售，使受害者更容易購買以支付贖金。

但是，如果勒索軟件轉(zhuǎn)而接受這種代幣的付款，它可能會迫于政府壓力從美國交易所中移除。

LockBit出售受害者的被盜數(shù)據(jù)？

LeMagIT的Valery Marchive發(fā)現(xiàn)LockBit 3.0正在利用一種新的勒索模型，允許攻擊者購買在攻擊期間被盜的數(shù)據(jù)。

新的LockBit 3.0數(shù)據(jù)泄露網(wǎng)站使用的其中一個JavaScript文件顯示了一個新的HTML模式對話框，允許人們購買網(wǎng)站上泄露的數(shù)據(jù)。

正如下圖所示，它將提供購買數(shù)據(jù)并通過Torrent或直接在網(wǎng)站上下載數(shù)據(jù)的能力。可用選項可以根據(jù)被盜數(shù)據(jù)的大小來確定，Torrent用于大數(shù)據(jù)轉(zhuǎn)儲和直接下載少量數(shù)據(jù)。

顯示新數(shù)據(jù)勒索方法的 JavaScript 源代碼

由于LockBit 3.0數(shù)據(jù)泄露站點目前不包含任何受害者，因此尚不清楚這種新的勒索策略將如何運作，甚至不知是否已啟用。

LockBit是最活躍的勒索軟件運營商之一，其面向公眾的運營商積極與其他攻擊者和網(wǎng)絡(luò)安全社區(qū)互動。由于其不斷采用新的策略、技術(shù)和支付方式，安全和網(wǎng)絡(luò)專業(yè)人員必須及時了解最新進(jìn)展。

塞訊安全實驗室全天候為客戶收集互聯(lián)網(wǎng)中最新的威脅情報，并快速、大規(guī)模地模擬勒索軟件部署之前的入侵，在確保安全的前提下，既能夠模擬勒索軟件的傳輸，也能夠模擬勒索軟件的執(zhí)行，幫助您檢驗防御體系是否能對這些攻擊手段產(chǎn)生正確的響應(yīng)。