Blog

1 week ago

Darknet ransomware LockBit 5.0 is launched, variant of the most dangerous ransomware to date

LockBit勒索软件团伙在2024年一次攻击后已经销声匿迹已久,上个月,LockBit在一个暗网论坛上宣布推出了LockBit 5.0,并宣称其加密速度和规避策略均有所提升,新的版本具有增强的功能和改进的勒索软件面板。尽管LockBit曾是勒索软件界的领头羊,但过去一年中受害者数量大幅下降,与Akira和Qilin等竞争对手相比,目前仅有约60名受害者。 暗网勒索软件团伙LockBit的LockBit 5.0网站:lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.]onion 近期,趋势科技发布的一项新研究,证实了LockBit勒索软件团伙针对Windows、Linux和VMware ESXi系统部署了名为LockBit 5.0的新变种,这表明该组织持续采取跨平台策略,攻击包括虚拟化环境在内的整个企业网络。新的Windows变种使用DLL反射技术加载有效载荷,并采用ETW修补等反分析技术。LockBit 5.0在所有平台上都实施了行为改进,包括随机化的16个字符文件扩展名和感染后日志清理程序。 由于过去的执法行动、源代码泄露以及新勒索软件团伙的崛起,LockBit的复兴面临挑战。业界对竞争对手提供的利润分享模式和高级功能的回应,给LockBit的复兴带来了障碍。在不断变化的威胁和监管审查中,LockBit力求重拾昔日的领先地位,网络安全领域仍需保持警惕。 LockBit勒索软件的演变历史 LockBit勒索软件团伙作为一个高产的勒索软件即服务(RaaS)团伙,自2019年问世以来其LockBit勒索软件已历经多次版本迭代。尽管执法部门曾发起重大打击行动(2024年初的克罗诺斯行动)查获其服务器并泄露解密密钥,该团伙仍以LockBit5.0版本卷土重来。最新版本被该团伙定位为“强势回归”,宣称具备更快的加密速度、更强的规避能力以及全面升级的联盟计划。 LockBit于2019年首次以ABCD勒索软件之名出现,其名称源于加密文件后缀“.abcd”。早期版本功能较为基础,仅专注于快速加密本地文件,尚未采用如今的高级战术。 2021年,LockBit2.0(红色版)实现了重大突破。该版本引入专为数据窃取设计的工具StealBit,使攻击者能大规模窃取敏感数据。同时新增通过SMB和PsExec实现的自动化传播功能,使附属攻击者能在企业网络中快速扩散。同期该团伙将攻击目标扩展至Linux和VMware ESXi系统,标志着其转向大型企业猎杀的战略转型。 2022年推出的LockBit3.0(黑色版)将创新推向新高度。该团伙率先推出漏洞悬赏计划,公开邀请黑客协助改进其恶意软件及暗网网站。其采用间歇性加密技术加速攻击进程——仅对大文件进行分块加密,即可彻底破坏文件功能。此版本使LockBit稳居全球最活跃勒索软件团伙之首,当年报告的勒索事件中逾40%由其制造。2022年末泄露的构建工具包,让研究人员以及竞争对手能够一窥LockBit已具备的高度定制化能力。 到2024年底,LockBit通过推出LockBit4.0(绿色版)回应执法压力。该版本几乎是完全重写,采用.NETCore开发,具备模块化架构和增强的隐蔽性。打印机垃圾邮件等高噪音功能被移除,取而代之的是API解钩、混淆技术和更隐蔽的执行机制。加密速度达到新高度,能在数分钟内瘫痪大型网络。附属成员获得更多灵活性:支持定制勒索信函,并兼容Linux及VMware ESXi环境。 如今,在经历全球性打击行动与内部泄密后,该勒索软件团伙正试图通过LockBit 5.0全面复苏,并纪念该团伙成立六周年。新版延续模块化设计,引入更强效的现代EDR规避机制,并推出改良版附属激励计划以重建网络。最终打造出比历代版本更快、更具韧性且适应性更强的勒索软件变种。 新推出的LockBit 5.0比以往要危险的多 趋势科技研究显示,新推出的LockBit 5.0勒索软件变种,比以前的版本“危险得多”,并且正在野外部署。研究人员已经发现了一个Windows二进制文件,该网络安全公司还在9月25日发布的一篇博客中证实了LockBit 5.0的Linux和VMware ESXi变体的存在。 研究人员指出,Windows、Linux和VMware ESXi变体的存在证实了LockBit持续的跨平台策略。这使得攻击者能够同时攻击整个企业网络,从工作站到托管数据库和虚拟化平台的关键服务器。这些变体为附属机构提供了更详细的部署选项和设置。 除了简单地更新加密器之外,此版本还整合了工具、反分析和操作员工效学,使攻击者能够在同一攻击活动中同时攻击Windows、Linux和VMware ESXi。其结果是一条完善的杀伤链:更隐蔽的入侵、更快的加密前防御抑制,以及可延长停机时间的虚拟机管理程序级影响。 对于虚拟化关键工作负载的组织而言,LockBit 5.0勒索软件模型的风险更高;防御者必须将虚拟机管理程序视为Tier-0级别,并假设其爆炸半径远远超出单个端点。 LockBit 5.0勒索软件并非彻底重写,而是对成熟代码库的积极演进,优先考虑规避攻击和速度。其跨平台设计使攻击者无需切换技术,即可在不同操作系统之间顺利切换,而随机扩展、日志篡改和区域设置检查等常见行为则使检测工程更加复杂。 至关重要的是,ESXi加密器以虚拟机数据存储为目标,将一台受感染的主机转化为数十个加密服务。结合加密前的终止服务和Windows上的遥测致盲技术,LockBit5.0最大限度地缩短了响应者的时间窗口,并削弱了常见的遏制模式,例如网络结构内快照和同网络备份。 此外,LockBit5.0版本包含重大技术改进,包括删除感染标记、加快加密速度和增强规避能力。趋势科技的研究人员警告称,尽管执法部门在2024年初对LockBit基础设施进行了打击行动,但该团伙通过“积极改进”其策略、技术和程序(TTP),展现出了韧性和保持领先于竞争对手的能力。

The post 暗网勒索软件LockBit 5.0推出,变种为迄今为止最危险的勒索软件 appeared first on 暗网下.

Source: Anwangxia →


Share

BTCBTC
$117,079.00
3.23%
ETHETH
$4,021.60
7.16%
USDTUSDT
$1.00
0.03%
BNBBNB
$1,234.89
0.84%
XRPXRP
$2.69
3.6%
SOLSOL
$207.32
5.07%
USDCUSDC
$1.000
0.01%
DOGEDOGE
$0.234
5.02%
STETHSTETH
$4,020.10
7.17%
TRXTRX
$0.331
1.79%
ADAADA
$0.773
4.51%
WSTETHWSTETH
$4,885.90
7.24%
WBTCWBTC
$117,037.00
3.36%
USDEUSDE
$1.00
0.06%
LINKLINK
$20.65
5.02%
WBETHWBETH
$4,339.58
7.15%
FIGR_HELOCFIGR_HELOC
$1.03
3.31%
SUISUI
$3.26
3.77%
HYPEHYPE
$43.14
1.11%
XLMXLM
$0.363
3.83%