Solar万字长文为你起底勒索组织LockBit
关于LockBit的前世、今生与未来
Lockbit勒索情报整合报告
历史演进、威胁情报与2025年IoC信息
本文图片素材部分来自网络,参考资料已在文末给出
省流总结
LockBit 自2019年以来一直是全球最具影响力的勒索软件即服务 (RaaS) 组织之一,其持续演进的恶意软件版本和高度专业化的运营模式对全球网络安全格局构成了重大威胁。该组织通过双重勒索 (double extortion) 策略,即加密受害者数据并威胁公开敏感信息,迫使受害者支付赎金。
尽管在2024年2月遭遇了“Cronos 行动” (Operation Cronos) 这一国际执法部门的重大打击,并于2024年5月其领导人 LockBitSupp (Dmitry Khoroshev) 的身份被揭露,LockBit却展现出惊人的韧性,迅速重建基础设施并于2025年2月推出了 LockBit 4.0 新版本。然而,2025年5月其内部运营数据库的泄露,再次暴露了其内部运作细节,包括数万个比特币钱包地址和数千条受害者谈判记录,为威胁情报分析提供了前所未有的洞察 。
本报告将深入分析 LockBit 的发展历史、其不断演进的战术、技术与程序 (TTPs),并提供基于2025年最新情报的入侵指标 (IOCs)。这些信息旨在帮助安全研究人员更好地理解 LockBit 的威胁态势,并制定更有效的防御策略,以应对勒索软件持续演变的挑战。
第一章:LockBit 发展史
本章详细梳理 LockBit 勒索软件从其诞生到2025年的关键发展节点、版本演变、内部结构以及其所面临的重大挑战和执法行动打击。
1.1 起源与演变
LockBit 勒索软件自2019年9月起开始活跃,最初被称为“.abcd”勒索软件,并迅速发展成为一个基于勒索软件即服务**(RaaS) 模式的犯罪组织 。这种模式使得其核心成员开发团队专注于恶意软件的开发和维护,而加盟成员则负责执行实际的攻击,并与核心团队分享赎金利润 。这种商业化运作极大地降低了网络犯罪的门槛,使其能够迅速扩大攻击范围和规模,也利用部分国家法律漏洞使相关核心人员避免了法律责任和保证组织的持续运营。
在过去几年中,LockBit 经历了多次重要的版本迭代,每次更新都带来了增强的功能和更强的规避能力:
- LockBit Red (LockBit 2.0): 于2021年6月发布,是 LockBit 的首次重大更新。该版本在效率上有所提升,例如降低了 CPU 使用率,并改进了勒索信息。LockBit 2.0 在2021年早期开始在俄语网络犯罪论坛中流传,并被观察到攻击了意大利、英国、台湾和智利等国家的制造业、零售业和专业服务业。
- LockBit Black (LockBit 3.0): 于2022年6月发布,被认为是更重要的更新。该版本由 DarkSide 和 BlackMatter 勒索软件的开发者开发,引入了新的功能和服务,显著提升了LockBit 在勒索软件生态系统中的地位。LockBit 3.0 引入了独特的特性,使其与早期版本和其他勒索软件家族区分开来,包括更先进的规避技术和对多语言的支持,使其能够针对全球受害者。其创作者甚至推出了漏洞赏金计划,以奖励发现其勒索软件或基础设施缺陷的人,这体现了他们对恶意软件质量的自信并提高了其发布的更新承诺的可信性。
- LockBit Green: 于2023年1月发布,但并非 LockBit 的原创勒索软件,而是泄露的 Conti 勒索软件的修改版本。其变化包括将受害者导向 LockBit 的谈判基础设施,并使用随机字符而非“.lockbit”作为加密文件的扩展名。此举旨在吸引偏好 Conti 载荷的前 Conti 附属成员。
- LockBit 4.0: 于2025年2月正式发布,是 LockBit 最新迭代版本,旨在增强隐蔽性和适应性。该版本通过包含各种规避技术(包括禁用安全功能和使用混淆方法)来阻碍检测。攻击通常由修改后的 PowerShell 脚本启动,该脚本执行辅助脚本,提取并部署恶意 DLL 载荷。
| 版本名称 | 推出年份 | 主要特点/变化 |
|---|---|---|
| 初始版本 | 2019 | 加密文件后添加“.abcd”扩展名 |
| Lockbit 2.0 | 2021 | 引入“StealBit”恶意软件,自动化窃取数据过程;速度快,加密效率高;针对Linux主机,特别是VMware ESXi服务器,发布了Linux-ESXi Locker 1.0版本。 |
| Lockbit 3.0 | 2022 | 在经过两个月的beta测试后于6月下旬发布;主要特点包括漏洞赏金计划。 |
| Lockbit-NG-Dev | 2024 | 当执法部门在2024年2月打击Lockbit服务器时,发现该版本正处于高级开发阶段;使用.NET框架编写,与早期使用的C和C++编程语言不同;Lockbit在2024年12月宣布了4.0版本,计划于2025年2月发布。 |
| SuperBlack | 2025 | 2025年3月,网络安全研究人员报告了一种名为SuperBlack的新勒索软件,该软件以Lockbit 3.0(也称为Lockbit Black)为基础;该变种删除了Lockbit品牌标识,更改了赎金票据,并添加了自定义数据泄露模块。也被称为LockBit 4.0 |
LockBit 运营由一名领导者和其他成员管理。但经过分析,至少有两个人曾使用过这个名为“LockBitSupp”的“BOSS”账户:该团伙的领导者和一名更年轻、更容易交流的成员。LockBit组织的领导者画像被描述为思想封闭、性别歧视、种族主义和“戏剧性”,性格与 REvil 前领导人“UNKN”相似(此部分内容来自Analyst1的专家卧底调查文章)。年轻成员更和蔼可亲,通常处理前来 Tox 的用户。LockBit 采用分层结构,较低级别的成员被分配轮值职责,以管理通信请求和问题,优先处理“在线”账户。高级的技术类的请求需要领导者或资深成员做出决策,这导致了更长的响应时间。
LockBit 持续对其恶意软件进行版本更新,每个新版本都声称具有“增强功能”、“更强的隐蔽性”、“更快的速度”或“更强的适应性”。LockBit Green 甚至基于泄露的 Conti 代码,旨在吸引前 Conti 成员。
此外,LockBit 还引入了漏洞赏金计划。这些发展表明 LockBit 并非一个静态的犯罪组织,而是一个高度“市场驱动”和“产品导向”的实体。勒索软件市场竞争的加剧以及网络安全防御技术的进步,迫使 LockBit 持续创新其恶意软件,以规避检测并保持竞争力。漏洞赏金计划可以被视为其“产品开发”成熟度的体现,旨在提高其恶意软件的鲁棒性,从而提升其在 RaaS 市场中的“产品质量”和“服务可靠性”。勒索软件团伙正在采用类似合法软件开发公司的策略,通过版本控制、功能增强和质量保证(如漏洞赏金)来维持其“业务”的盈利能力和市场份额。这使得勒索软件威胁变得更加复杂和难以根除,因为它们能够快速适应新的防御措施。
1.2 关键事件与挑战
LockBit 的发展过程中,与多名知名网络犯罪分子建立了合作关系。例如,2023年2月下旬,Bassterlord 宣布将与 LockBit 合作,并被确认为 LockBit 勒索软件行动的最新附属成员。Bassterlord 与 LockBit 的关系可追溯到2020年的夏季论文竞赛,当时 LockBit 还是一个鲜为人知的组织。LockBit 在一个俄罗斯地下黑客论坛上赞助了一场竞赛,提供5000美元奖金用于黑客和漏洞利用技术研究。
Bassterlord 提交了一篇关于勒索软件攻击中钓鱼技术的论文,并入选前五名,这促使 LockBit 邀请他作为直接黑客附属成员加入其行动。Bassterlord 甚至在2021年停止与 LockBit 合作后,仍帮助其识别并修复了2021年3月 LockBit 勒索软件中的一个漏洞,这发生在 LockBit 设立漏洞赏金计划之前。
尽管 LockBit 表面上表现出高度专业性,但其内部运营也面临诸多问题,这些问题在2023年的调查报告中被揭露:
- 受害者数据发布困难: LockBit 在其泄露网站上持续发布被盗受害者数据方面存在严重问题,经常发出空洞的无用威胁。这个问题归因于其后端基础设施和可用带宽的限制。尽管 LockBit 在2023年7月更新了其基础设施,但这被描述为“权宜之计”,因为许多帖子仍然声称数据已发布但实际上并未发布,或者只提供文件目录而非实际数据。在某些情况下,数据甚至托管在合法的第三方文件共享平台,这对附属成员来说是一个缺点。
- 支持等待时间过长: 由于 Tox 通信量大且其安全功能使其不够用户友好,LockBit 的合作伙伴面临漫长的服务请求响应时间。LockBit 已承认这一点并考虑创建票务系统,但这需要大量的开发工作。
- 勒索软件更新不足: LockBit 未能在2023年6月按预期发布新的勒索软件变种。最近的“更新”LockBit Green 是一个重新利用的 Conti 变种,被分析师认为是“平庸”和过时的。这种缺乏更新的问题在于许多安全厂商现在可以检测到 LockBit Black。
- 依赖泄露/被盗勒索软件: LockBit 积极寻求获取竞争对手(如 Royal, REvil, Alphv)的勒索软件构建器,以向附属成员提供“一站式服务”。该策略旨在为附属成员提供多种载荷选项,以防其中一个被阻止,甚至在一次攻击中部署多个勒索软件变种以索取多份赎金。
LockBit 像一家公司一样运作,拥有“客户服务”理念,并有分层结构。然而,其内部仍存在“数据发布困难”、“支持响应慢”、“更新不足”等运营问题,导致附属成员对这些问题感到不满,甚至转向竞争对手。这揭示了即使是高度组织化的网络犯罪团伙,也面临着与合法企业类似的运营挑战,如基础设施瓶颈、客户服务压力和产品开发周期。
勒索软件 RaaS 模式的成功吸引了大量附属成员,导致其运营规模急剧扩张,从而带来了合法企业常见的管理和技术挑战。这些挑战反过来又影响了其“服务质量”,可能导致附属成员流失,进而影响其整体攻击量和市场份额。了解这些内部运营问题,可以为执法机构和网络安全研究人员提供新的打击点,例如通过破坏其通信渠道、基础设施或利用其内部矛盾来削弱其运营能力。同时,这也提醒我们,即使是犯罪组织,其行为模式也可能受到经济和组织规律的影响。
1.3 执法行动与内部泄露
LockBit 在2024年和2025年遭遇了多次重大打击,这些事件对其运营和声誉产生了深远影响。
“Cronos 行动” (Operation Cronos) 对 LockBit 基础设施的打击及其影响 (2024年2月):
2024年2月19日,英国国家犯罪局 (NCA) 联合美国联邦调查局 (FBI)、欧洲刑警组织 (Europol) 和其他9个国家,对 LockBit 勒索软件团伙的暗网数据泄露网站进行了重大打击,代号为“Cronos 行动”。
- 行动第一阶段,NCA 在 LockBit 的暗网泄露网站上放置了查封横幅,表明已控制其基础设施和资源,并已收集信息一段时间。他们还获取了受害者解密密钥。
- 行动第二阶段 (2024年2月20日),NCA 将网站访问者重定向到一个新的、类似 LockBit 的网站,但其内容不再是受害者帖子,而是针对 LockBit 犯罪分子的起诉和制裁公告。登录 LockBit 勒索软件面板的附属成员收到了个性化消息,告知其面板用户名、加密货币钱包地址、受害者谈判聊天记录、IP 地址以及与 LockBitSupp 的对话记录已被执法部门收集。这被视为一次心理战行动 (PSYOP),旨在削弱团伙内部的信任。
- 此次行动导致2人被捕,关闭了14000多个恶意账户,查封了34台服务器,并冻结了200多个加密货币账户。
LockBit 迅速建立了新的基础设施,重建了其泄露网站。新网站上的第一个“受害者”是 FBI,用于宣传并解释所发生的事情。LockBit 试图在查封后虚张声势,声称拥有富尔顿县的数据,但未能成功。尽管表面上 LockBit 似乎恢复了运营,但对其泄露网站受害者和结果的审查表明情况大相径庭。LockBit 似乎试图夸大受害者数量,并专注于发布来自参与打击行动的国家/地区的受害者信息。
LockBitSupp 身份的揭露 (Dmitry Khoroshev):
执法部门通过倒计时和猫咪表情包预告了 LockBitSupp 的身份揭露,暗示 LockBitSupp 正在合作。2024年5月7日,美国司法部公开确认 LockBitSupp 的身份为 Dmitry Khoroshev。
其真实身份信息包括:出生日期1993年4月17日,居住地俄罗斯沃罗涅日地区。关联的合法业务/域名包括 tkaner.com(电子商务服装店)和其他与 sitedev5@yandex.ru 相关的合法域名。Tkaner LLC 于2021年7月在沃罗涅日注册。其真实 IP 地址 (2022年未使用 VPN 时使用): 80.82.46.194 (位于俄罗斯沃罗涅日)。其物理地址 (截至2021年): 沃罗涅日,Shishkova 街,72/5,公寓165,7楼,165号楼。其 VK 账户包括 https://vk[.]com/id195770363 (已删除) 和 https://vk[.]com/id622984899 (活跃) 。
“Cronos 行动”在2024年2月对 LockBit 造成了重大打击,查封了服务器,冻结了账户,并获取了解密密钥。执法部门随后公开了 LockBitSupp 的真实身份。尽管 LockBit 迅速重建了基础设施,并发布了 LockBit 4.0,甚至在2024年5月上传了大量积压的受害者信息,试图夸大其运营节奏,但其在2024年和2025年的攻击节奏显著下降,并跌出前10名勒索软件团伙。
执法行动直接破坏了 LockBit 的基础设施和运营能力,导致其活动量短暂下降。然而,RaaS 模式的分布式特性使其能够快速重建。但领导者身份的揭露和附属成员信息的收集严重损害了其在犯罪生态系统中的“信誉”和“匿名性”,这对于依赖信任的 RaaS 模式是致命的打击,导致附属成员流失和长期衰退。
这表明对抗勒索软件需要多管齐下,包括技术打击、法律制裁和心理战。单纯的技术查封可能只是暂时的,但结合身份揭露和信任瓦解,才能对其核心运作模式造成更持久的损害。同时,这也预示着勒索软件生态系统内部的权力动态正在发生变化,新的竞争者(如 RansomHub)正在崛起。
2025年5月 LockBit 内部数据库泄露事件的详细分析及其深远影响:
2025年5月7日,LockBit 勒索软件团伙再次遭遇重大打击,其内部基础设施被攻破,导致内部 SQL 数据库和数千条附属成员聊天记录被泄露,攻击者在暗网面板上留下了“Don't do crime CRIME IS BAD xoxo from Prague”的消息。
泄露的数据库 (paneldb_dump.zip) 包含2024年12月至2025年4月的 LockBit 运营数据,包括:
- 近60,000至62,400个独特的比特币 (Bitcoin) 钱包地址,其中一些地址仍有超过10万美元的余额。
- 超过4,400条 LockBit 运营者与受害者之间的谈判信息。
- 约75名附属成员和管理员的用户名及明文密码。
- 自定义勒索软件构建配置,包括针对 ESXi 和其他系统的构建信息。
- 受害者档案、域名和预估收入。
- 加密参考和解密密钥信息。
此次入侵很可能利用了 PHP 8.1.2 版本中的一个漏洞 (CVE-2024-4577),该漏洞可导致远程代码执行。
此次泄露事件将严重损害 LockBit 在网络犯罪社区中的信誉,可能导致附属成员对该组织的安全性和匿名性产生怀疑,从而加速其流失。LockBitSupp 承认此次泄露将损害其声誉。
泄露的数据是理解 RaaS 运营机制的“金矿”,为威胁研究人员和执法部门提供了宝贵的洞察,可用于追踪支付、映射附属关系,甚至揭露更多运营者的身份。此次泄露可能导致勒索软件威胁格局变得更加不可预测。一些分析师认为,泄露的工具可能被缺乏组织结构的较小团伙利用,从而导致攻击模式更加多样和难以预测。
2025年5月的泄露事件暴露了 LockBit 大量内部运营数据,包括附属成员凭证、谈判记录和比特币地址。RaaS 模式的核心是“信任”和“匿名性”,附属成员依赖核心团队提供的安全基础设施和支付匿名性。泄露的明文密码和内部聊天记录直接暴露了附属成员的身份和操作细节。这种内部数据泄露对 RaaS 模式的打击是毁灭性的,因为它直接破坏了其最核心的信任基础和匿名性承诺。
内部数据泄露导致附属成员的身份和操作细节被暴露,这直接威胁到他们的安全和匿名性,从而导致他们对 LockBit 失去信任。信任的丧失将导致附属成员大量流失,削弱 LockBit 的攻击能力和市场份额,甚至可能导致其最终瓦解。此次泄露比执法部门的外部打击更具破坏性,因为它揭示了犯罪组织内部的安全漏洞,并为执法部门提供了“内部视角”的证据。
网络安全研究人员可以利用这些信息来识别和打击勒索软件团伙的“业务流程”中的薄弱环节,例如通过渗透其通信渠道、利用其内部矛盾或破坏其支持系统,从而削弱其整体运营效率。同时,这也可能促使其他 RaaS 组织更加重视其自身的运营安全,或者促使犯罪分子转向更分散、更难以追踪的攻击模式。
第二章:LockBit 情报信息
本章将深入剖析 LockBit 的运营模式、攻击战术、技术与程序以及其目标选择偏好,为安全研究人员提供全面的威胁情报。
2.1 运营模式与策略
LockBit 作为一个 RaaS 组织,其核心团队负责开发和维护勒索软件、基础设施(如数据泄露网站、谈判门户)以及提供技术支持。附属成员则负责初始访问、横向移动、数据窃取和勒索软件部署。利润通常按照预设的比例分成,例如 LockBit 核心团队收取20%的受害者资金。泄露的聊天记录显示,LockBit 面板的访问费用约为777美元的比特币。
LockBit 普遍采用双重勒索策略,即在加密受害者数据之前先窃取敏感信息,然后威胁如果受害者不支付赎金,就将这些数据公开发布或出售。在谈判中,LockBit 还会利用受害者的恐惧和其在公共领域的声誉来施压,即使其无法持续发布被盗数据。他们会使用倒计时来增加压力,提高支付可能性 。
泄露的聊天记录揭示了 LockBit 运营者在谈判中使用的行为模式、谈判策略,有时甚至是情感操纵。例如,附属成员“Swan”的沟通风格特点是“精心设计的逐步施压”,通过策略性地利用紧迫性、声誉威胁和下游受害者的卷入来迫使支付。LockBit 曾否认对某些攻击负责,通常将责任推给“流氓附属成员”或泄露的勒索软件,尤其是在攻击关键基础设施或敏感组织(如皇家邮政、SickKids 医院)时。
在通信方面,LockBit 使用 Tox(一种加密通信应用程序)与犯罪分子、记者和研究人员进行直接通信。他们还在 Exploit 和 XSS 等地下论坛上维护账户用于公开通信和招募。在操作安全实践方面,LockBitSupp 曾吹嘘其操作安全技能,但因在2022年未使用 VPN 使用其真实地址而犯错,导致其真实 IP 地址被发现。LockBit 依赖 Tor 网络进行运营安全,以隐藏其基础设施和通信,使其勒索门户、泄露网站和通信中心即使在全球审查下也能持续存在。
LockBit 强调“客户服务和支持”,并有分层结构来处理通信请求。谈判记录显示其使用心理战术,试图建立“可靠”的服务声誉。尽管如此,其内部运营问题(如支持响应慢)导致附属成员不满。勒索软件团伙在某种程度上试图模仿合法企业进行“客户关系管理”,以维持其在犯罪生态系统中的地位。然而,这种“专业化”也带来了新的脆弱性,例如对内部运营安全的依赖。为了吸引和留住附属成员,LockBit 必须提供“高质量”的服务,包括有效的勒索软件、可靠的基础设施和响应迅速的支持。
这种对“服务质量”的追求使其在运营上变得更加复杂和集中,从而增加了被执法部门或竞争对手利用其内部漏洞进行打击的风险。LockBitSupp 的 OPSEC 失误和2025年的内部数据库泄露都是这种脆弱性的体现。网络安全研究人员可以利用这些信息来识别和打击勒索软件团伙的“业务流程”中的薄弱环节,例如通过渗透其通信渠道、利用其内部矛盾或破坏其支持系统,从而削弱其整体运营效率。
2.2 攻击战术、技术与程序
LockBit 附属成员采用多种战术、技术和程序来实施攻击:
初始访问 (Initial Access):
- 钓鱼攻击 (Phishing): LockBit 附属成员经常通过钓鱼邮件或恶意超链接进行初始入侵。
- 漏洞利用 (Vulnerability Exploitation): 滥用未打补丁的公共漏洞是 LockBit 的常见手段,例如:
- 针对 Fortinet 防火墙的认证绕过漏洞 (CVE-2024-55591 和 CVE-2025-24472),这些漏洞在2025年1月被披露,且早在2024年12月就已出现利用活动。
- 利用暴露的 Windows Confluence 服务器上的漏洞 (CVE-2023-22527)。
- Log4j 软件库的漏洞也被提及为 LockBit 潜在的初始测试入口。
- 2025年5月 LockBit 自身被入侵,很可能利用了 PHP 8.1.2 的一个漏洞 (CVE-2024-4577),该漏洞可导致远程代码执行。
- 凭证窃取 (Credential Theft) 与暴力破解 (Brute-Force): 对远程服务(如 VPN, RDP)进行暴力破解攻击,或使用从初始访问代理 (IABs) 处购买的被盗账户凭证。泄露的聊天记录显示,攻击者曾通过具有用户权限的经理账户进入网络,并转储了域中所有主机的 NTLM 本地管理员访问权限。
横向移动 (Lateral Movement):
攻击者在获得突破入口后,会利用原生 Windows 工具如 PsExec, WMI 和 RDP 在系统间横向移动。他们还使用 Mimikatz 等工具收集访问令牌、凭证和明文密码。
权限提升 (Privilege Escalation):
LockBit 加密器被设计为以管理员权限执行。如果恶意软件没有必要的权限,它会尝试提升到所需的权限。
数据窃取 (Data Exfiltration):
在加密文件之前,LockBit 会识别并窃取敏感信息,然后利用“Stealbit”应用程序或 Rclone 将数据外泄到攻击者控制的服务器或安全云存储(如 MEGA.io)。泄露的构建脚本显示,LockBit 附属成员会开启对所有可访问驱动器和网络共享的自动化扫描。
防御规避 (Defense Evasion):
- 代码混淆 (Obfuscation) 与禁用安全软件: LockBit 4.0 增强了规避技术,包括禁用安全功能和利用混淆方法来阻碍检测。LockBit 会修改注册表条目以禁用 Windows Defender 等安全功能。
- 利用合法工具 (LOLBAS - Living off the Land Binaries and Scripts): LockBit 滥用 Windows PowerShell 和 SMB 等操作系统原生工具来伪装活动为“正常”,并混淆其操作。他们还被观察到使用 Mimikatz 等公开工具。
- 其他规避技术: 包括加密载荷、进程镂空 (process hollowing)、使用签名二进制文件、环境感知检查以避免沙箱检测,以及利用 Bring Your Own Vulnerable Driver (BYOVD) 技术(如 TrueSightKiller)来禁用安全解决方案。
影响 (Impact):
- 文件加密机制: LockBit 使用 AES (Advanced Encryption Standard) 和 RSA (Rivest–Shamir–Adleman) 等非对称加密算法对受害者系统进行加密,使得没有私钥几乎不可能解密。
- 勒索信息投放: 加密完成后,LockBit 会在受害者系统中留下勒索信息,提供支付说明 。LockBit Green 使用随机字符作为文件扩展名,而 LockBit 4.0 仍使用“.lockbit”扩展名。
LockBit 的 TTPs 展现出高度的适应性和灵活性,使其能够针对多种环境和规避多种防御机制。这种多平台能力和对已知漏洞的持续利用,使其成为一种普遍且难以防御的威胁。勒索软件团伙为了最大化攻击成功率和规避检测,会不断更新其攻击工具和技术,并利用新发现的漏洞。
对 LOLBAS 和 COTS (Commercial Off-The-Shelf) 工具的依赖,使得攻击行为更难与合法系统活动区分开来。扩展到多平台(尤其是 ESXi)是为了扩大攻击面,因为虚拟化环境通常承载大量关键业务系统,一旦被加密,影响巨大。网络安全研究人员不能仅关注最新的0day漏洞,还必须重视对已知漏洞的及时修补和基础安全卫生。同时,需要部署能够识别 LOLBAS 和 COTS 工具滥用的行为分析和威胁检测解决方案,并加强对多平台环境(特别是虚拟化基础设施)的保护。
2.3 目标分析
LockBit 勒索软件影响了各行各业的组织,包括医疗保健、金融、制造、政府机构和汽车行业。2025年第一季度,制造业仍然是受影响最严重的行业,占工业实体勒索软件事件的68%。
LockBit 攻击范围遍及全球,包括美国、中国、印度、英国以及欧洲和亚洲的多个国家。2025年4月,美国仍然是勒索软件攻击的首要目标,德国位居第二,加拿大和英国紧随其后。2025年第一季度,北美报告了413起事件(占全球勒索软件活动的约58%),其中美国占绝大多数。
LockBit 附属成员不仅针对 Windows 机器,在2024年和2025年也观察到他们针对运行 VMware ESXi 和其他虚拟机管理程序 (hypervisor) 的系统。LockBit 正在测试用于 macOS、Linux,甚至 SPARC 和 MIPS 等罕见架构的加密器。
LockBit 勒索软件团伙的目标选择是经济驱动的,旨在最大化利润。同时,他们也在不断扩展其技术能力,以覆盖更广泛、更具价值的攻击面。勒索软件团伙优先选择经济发达、数据价值高、关键基础设施集中且可能缺乏强大防御的地区和行业,以确保高额赎金支付。
对 ESXi 等虚拟化环境的攻击,是因为这些系统通常承载着企业的大量核心业务数据和应用,一旦被加密,将导致严重的服务中断和高昂的恢复成本,从而增加受害者支付赎金的压力。组织应根据其所处行业和地理位置的风险暴露情况,优先加强防御措施。特别是对于制造业和使用虚拟化技术的企业,需要特别关注针对这些环境的特定防御策略。
2.4 内部泄露数据分析
我司根据泄露数据进行了分析,发现了多个“有趣”的勒索谈判记录,现与各位分享。
首先,LockBit并非仅对企业和个人进行勒索,也可能对部分官方机构发起过攻击、窃密和勒索,但这一案例的情况也很复杂,我们将进行详细分析。
Solar团队经过细致分类检索,发现LockBit曾于2025年4月25日,与俄罗斯切巴库尔市(英文:Chebarkul)政府进行谈判。根据记录分析,受害者自称是俄罗斯切巴库尔市的工作人员,本次使用的加密器版本为LockBit Green,即LockBit 4.0的前置发布版本,与LockBit 4.0存在强关联。原始记录如下图所示:
这一谈判记录主要内容为——该自称政府人员的受害者与威胁行为者进行沟通,威胁行为者声称可以免费提供解密器,该事件并非LockBit宣布负责并主导的事件,而是对手势力偷取加密器进行的栽赃陷害。
但是,该解密器并未完成其工作,这也是我司得出的一致结论——LockBit 4.0的开发,因“BOSS”的独断专行和技术垄断,不仅开发进度缓慢,其解密恢复的有效性与可信度极低,我们也将在下文中的另一记录分析进行佐证。目前对于“解密失败”或“加密过程存在问题”的结论我司仍在加紧分析过程中。但我们仍在此呼吁,一旦遭遇勒索病毒攻击,请不要尝试通过与黑客妥协来达成数据恢复目的!无论是技术原因又或者是对于罪犯的信任都是不可取、不稳定的,请选择更为专业的服务机构,通过技术溯源、数据取证、数据恢复的标准化、专业化流程,才是能够安全夺回个人数据的正确途径。
另外,我司信息学专家也对该聊天记录进行了语言学分析。有趣的是,受害方在语言学特征上反而具有乌克兰语痕迹,虽然“Старалися”是乌克兰语和俄语通用的形式,但“Чтоб … то”结构都明显偏离标准俄语规范。而LockBit威胁行为者在语言特征上结构清晰,指令式语气明显,专业术语应用准确,使用非正式、口语化的句式结构,反而更近似俄语母语者。
我司分析专家同时发现一ID对应的威胁行为者(如前文情报分析所言,LockBit有多个威胁行为者,其中部分负责与受害者进行谈判)谈判记录下,存在多个针对中国的案例。同时,该ID对应的威胁行为者自称隶属一个小组织,并且该小组织为BreachForums工作,因为自建加密器运行效果较差,故加入了LockBit。
其中一份聊天记录的部分内容如下:
为提升勒索事件研判效率,我们已将谈判记录统一导入至Sar勒索情报平台,实现集中管理与快速检索
该聊天记录中,威胁行为者与某位中间人进行了激烈沟通,因该中间人经过谈判支付了赎金,但最终解密器并未正常工作恢复文件,中间人情绪激动并反复对威胁行为者进行提问,威胁行为者采取放置策略,不再对该谈判对话进行任何回复。
在这份谈判记录中,我们了解到LockBit并非拥有庞大的技术团队,而是可能由所谓的“BOSS”进行了技术垄断,自行更新加密器版本,加盟团队仅拥有加密器和解密器的构建使用权力和谈判服务使用权。而与受害者进行沟通的是庞大的加盟团队,这些加盟团队各自为战,负责处理各自的受害者。如下记录可佐证:
该谈判记录来自某个可怜的中间人受理的案例,在进行代理谈判并支付赎金后,该威胁行为者给出的解密器并未正常工作,解密失效,导致该中间人通过其他手段获取了该ID并强行插入了对话。我们也由此得以一窥关于LockBit组织架构的秘密。
第三章:LockBit IOC 信息
本章将提供真实、多数据源且具有2025年时效性的 LockBit IOC,这些信息对于网络安全研究人员识别和响应 LockBit 攻击至关重要。
3.1 勒索软件变种与文件特征
LockBit 勒索软件的不同版本在文件加密后的命名约定和勒索信息方面有所区别。LockBit Green 版本不再附加“.lockbit”到加密文件,而是使用随机字符 。而 LockBit 4.0 在文件加密后,仍然附加“.lockbit”扩展名,并以.txt 格式放置勒索信息 。此外,勒索软件在运行过程中会写入进度文件,例如 /tmp/lockbit.log 或 decrypt.llg,这些文件稍后被用作攻击者可以解密所加密内容的证据。
以下是 LockBit 勒索软件的已知恶意软件哈希值 (SHA-256) 和文件特征:
- LockBit 3.0 (LockBit Black):
- SHA-256: 9db515b9...cbd
- 文件大小: 163,328 字节
- 时间戳: 2022-07-06 00:49:15
- 熵值: 7.309 (91% Packed)
- 导入库: gdi32.dll, user32.dll, kernel32.dll
- 节:.text,.itext,.data,.rdata,.pdata,.reloc
- LockBit 样本 (2025年3月分析):
- SHA-256: d5ea463e0719ee2d1705ff305cdd8529bd2ff23dde79c502c4f478937a91f874
- 文件名: b3175331ae74ee277e94d3e0bc982bf4.exe
- 文件大小: 146.00 KB
- 最后分析日期: 2025年3月23日
- 被67/73个安全厂商标记为恶意
- 沙箱标记: MALWARE RANSOM SPREADER EVADER
勒索软件团伙通过修改文件特征来规避基于签名的检测,但其核心功能和行为模式仍可被识别。勒索软件开发者会不断调整其恶意软件的静态特征,以逃避传统的防病毒软件检测。然而,其运行时行为(如创建特定进度文件、修改注册表、删除卷影副本)和对特定系统库的依赖,仍然是进行行为分析和动态检测的关键。防御策略应从单纯的签名检测转向更强大的行为分析、端点检测与响应 (EDR/XDR) 工具,以及对系统日志和文件系统变化的持续监控。定期更新威胁情报中的哈希值和文件特征,并结合行为规则,是有效检测 LockBit 攻击的关键。
表1:LockBit 勒索软件变种与文件特征
| 变种名称 | 发布日期 | 文件扩展名 | 勒索信息文件名 | 已知哈希值 | 文件大小 | 最后分析日期 | 备注 |
|---|---|---|---|---|---|---|---|
| LockBit Red (2.0) | 2021年6月 | .lockbit | N/A | N/A | N/A | N/A | 效率提升,CPU使用率降低 |
| LockBit Black (3.0) | 2022年6月 | .lockbit | N/A | 9db515b9...cbd | 163,328 字节 | 2022-07-06 | 由DarkSide/BlackMatter开发者开发,引入漏洞赏金计划 |
| LockBit Green | 2023年1月 | 随机字符 | N/A | N/A | N/A | N/A | 修改自Conti勒索软件,旨在吸引前Conti附属成员 |
| LockBit 4.0 | 2025年2月 | .lockbit | .txt格式 | N/A | N/A | N/A | 增强隐蔽性与适应性,通过PowerShell脚本部署DLL载荷 |
| LockBit 样本 | N/A | N/A | N/A | d5ea463e0719ee2d1705ff305cdd8529bd2ff23dde79c502c4f478937a91f874 | 146.00 KB | 2025年3月23日 | 被67/73安全厂商标记为恶意,沙箱标记为RANSOM SPREADER EVADER |
| 进度文件 | N/A | N/A | N/A | N/A | N/A | N/A | /tmp/lockbit.log 或 decrypt.llg |
3.2 入侵指标
加密货币追踪是打击勒索软件团伙的关键,但其对匿名币种的使用增加了追踪难度。勒索软件基础设施具有高度动态性,但历史数据和泄露信息仍可提供重要线索。
加密货币钱包地址 (Cryptocurrency Wallet Addresses):
2025年5月泄露的 LockBit 数据库包含近60,000至62,400个独特的比特币 (Bitcoin) 钱包地址,这些地址用于接收赎金支付。泄露数据显示,一些比特币地址仍有超过10万美元的余额。勒索软件团伙还提供门罗币 (Monero) 作为支付选项,并提供高达20%的折扣,以利用其更强的匿名性。泄露的聊天记录显示,有12个比特币地址被确认为潜在附属成员支付面板访问费用的地址。管理员控制的资金在收到受害者支付后,会立即转移到指定地址,并长期保持不活跃状态。
暗网域名与 IP 地址 (Dark Web Domains and IP Addresses):
LockBitSupp 的真实 IP 地址为 80.82.46.194 (位于俄罗斯沃罗涅日),该 IP 地址在2022年 LockBitSupp 未使用 VPN 的情况下被发现。旧的 LockBit 基础设施域名 lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion 于2024年2月被查封。LockBitSupp 在2024年2月24日宣布回归并发布了新tor站点。2025年5月,一个 LockBit 4.0 tor站点被入侵,攻击者在上面发布了泄露数据。数据外泄的保存平台包括 MEGA.io等。
大量比特币地址的泄露为执法部门和链上分析公司提供了崭新的溯源方向,通过资金流向来追踪勒索支付,识别附属成员,甚至可能揭露更多幕后人员。然而,门罗币的使用是犯罪分子为了规避这种追踪而采取的反制措施。基础设施的快速重建体现了 RaaS 模式的韧性,但其核心运营者的 IP 地址和旧的、已被查封的域名仍然是重要的历史 IOC,可用于识别遗留感染或关联其他犯罪活动。组织应积极利用区块链分析工具,监控已知的勒索软件钱包地址,并与执法部门分享相关信息。同时,威胁情报应持续更新勒索软件团伙的暗网域名和 IP 地址,即使这些地址可能已不再活跃,它们仍可用于历史溯源和关联分析。
表2:2025年 LockBit 相关加密货币钱包地址
| 货币类型 | 钱包地址 | 关联信息 | 余额 |
|---|---|---|---|
| Bitcoin (BTC) | 泄露数据库中的约60,000-62,400个不同的地址 | 赎金接收地址 | 部分地址余额超过$100,000 (截至2025年5月) |
| Bitcoin (BTC) | 12个特定地址 | 附属成员面板访问支付地址 | N/A |
| Monero (XMR) | N/A | 勒索支付选项,提供高达20%折扣以增强匿名性 | N/A |
表3:2025年 LockBit 相关网络基础设施指标
| 类型 | 具体值 | 描述 | 时效性/发现日期 |
|---|---|---|---|
| IP 地址 | 80.82.46.194 | LockBitSupp 真实 IP 地址,位于俄罗斯沃罗涅日,2022年未使用 VPN 时被发现 | 2022年被发现 |
| 暗网域名 (.onion) | lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion | 旧 LockBit 基础设施域名,2024年2月被“Cronos行动”查封 | 2024年2月被查封 |
| 暗网域名 (.onion) | 新的洋葱站点 | LockBitSupp 在2024年2月24日宣布回归并建立的新基础设施 | 2024年2月24日 |
| 暗网域名 (.onion) | LockBit 4.0 洋葱站点 | 2025年5月被入侵并用于发布泄露数据 | 2025年5月7日 |
| 数据外泄目标 | MEGA.io | LockBit 攻击中用于数据外泄的云存储服务 | N/A |
3.3 漏洞利用与工具
LockBit 攻击并非总是依赖于未知的零日漏洞;对已知漏洞的持续利用和对合法工具的滥用是其成功的关键。
LockBit 攻击中利用的已知漏洞 (CVEs):
- CVE-2023-22527: 针对暴露的 Windows Confluence 服务器的漏洞,导致 LockBit 勒索软件部署。
- CVE-2024-55591 和 CVE-2025-24472: Fortinet 在2025年1月披露的认证绕过漏洞。前者是零日漏洞,利用活动可追溯到2024年12月。
- CVE-2024-4577: 影响 PHP 8.1.2 的远程代码执行漏洞,被认为是2025年5月 LockBit 自身被入侵的可能入口点。
- Log4j 漏洞: 被提及为 LockBit 潜在的初始访问向量。
攻击者使用的常见工具和合法二进制文件 (LOLBAS):
- 凭证窃取: Mimikatz。
- 横向移动/远程执行: Cobalt Strike, RDP (Remote Desktop Protocol), PsExec, WMI (Windows Management Instrumentation), SMB (Server Message Block)。
- 数据外泄: Rclone, Stealbit。
- 防御规避/系统操作: PowerShell, net.exe, taskkill.exe, wmic.exe, vssadmin delete shadows (删除卷影副本)。
- 其他: AnyDesk (远程控制) , TrueSightKiller (BYOVD 技术,禁用安全解决方案)。
许多组织未能及时修补已知漏洞,这为 LockBit 提供了持续的初始访问机会。同时,使用 LOLBAS 和 COTS 工具使得攻击行为更难被传统的基于签名的安全产品检测,因为这些工具本身是合法的。这迫使网络安全研究人员从仅关注恶意软件签名转向关注异常行为和合法工具的滥用。组织必须建立健全的漏洞管理流程,确保及时对所有面向互联网的系统进行补丁更新。此外,部署高级 EDR/XDR 解决方案,并配置行为分析规则,以检测合法工具的异常使用模式,是应对 LockBit 这类攻击的关键。
表4:2025年 LockBit 攻击中利用的关键漏洞
| CVE ID | 漏洞描述 | 受影响产品/服务 | 首次利用时间 | 备注 |
|---|---|---|---|---|
| CVE-2023-22527 | 权限提升漏洞 | Windows Confluence Server | N/A | 导致LockBit勒索软件部署 |
| CVE-2024-55591 | 认证绕过漏洞 | Fortinet 防火墙 (FortiClientEMS) | 2024年12月 | 零日漏洞,被LockBit关联团伙利用 |
| CVE-2025-24472 | 认证绕过漏洞 | Fortinet 防火墙 (FortiClientEMS) | 2025年1月 | 与CVE-2024-55591同时披露 |
| CVE-2024-4577 | 远程代码执行 (RCE) 漏洞 | PHP 8.1.2 | 2024年6月7日 | 可能是2025年5月LockBit自身被入侵的入口点 |
| N/A | 远程代码执行漏洞 | Log4j 软件库 | N/A | 被提及为LockBit潜在的初始访问向量 |
3.4 身份与通信特征
身份归因是打击勒索软件团伙的有效手段,而犯罪团伙内部的运营安全漏洞(如明文密码存储)是其致命弱点。
LockBitSupp 的真实身份信息:
- 姓名: Dmitry Khoroshev
- 出生日期: 1993年4月17日
- 居住地: 俄罗斯沃罗涅日地区
- 关联业务/域名: tkaner.com (电子商务服装店), 其他与 sitedev5@yandex.ru 关联的合法域名。Tkaner LLC 于2021年7月在沃罗涅日注册。
- 电子邮件地址:
- 主要/合法: d.horoshev@gmail.com, khoroshev1@icloud.com, khoroshev.d@gmail.com, horoshev@gmail.com, sitedev5@yandex.ru。
- 次要/可疑 (来自泄露数据): darkbot@smtp.ru, 3k@xakep.ru (别名: NeroWolfe)。
- 电话号码: +7 952 102 0220 (主要/当前), +7 951 853 9388, +7 967 341 5167, +7 473 241 4824。
- 物理地址 (截至2021年): 沃罗涅日,Shishkova 街,72/5,公寓165,7楼,165号楼。
- VK 账户: https://vk[.]com/id195770363 (已删除), https://vk[.]com/id622984899 (活跃)。
泄露的 LockBit 联盟成员凭证:
2025年5月泄露的数据库包含约75名 LockBit 系统用户(可能是附属成员或管理员)的信息,包括用户名和明文密码。泄露的聊天记录揭示了附属成员的独特昵称和沟通风格。
Tox ID 及其他通信平台信息:
LockBit 的唯一 Tox ID 列在其数据泄露网站的“联系我们”部分。Tox (特别是 qTox) 在2023年5月曾被发现存在零日漏洞。
领导者身份的揭露直接破坏了 LockBit 的匿名性,使其面临法律制裁和资产冻结的风险,并对附属成员的信心造成打击。内部泄露的明文密码和通信记录则进一步暴露了附属成员的身份,使得执法部门能够更精确地追踪和逮捕犯罪分子。这些信息共同削弱了 RaaS 模式赖以生存的“安全感”和“匿名性承诺”。这表明执法部门在打击网络犯罪方面取得了显著进展,并且“人”的因素仍然是犯罪团伙最脆弱的环节。对于组织而言,了解这些身份信息有助于更好地理解攻击者的动机和背景,并可能在未来识别潜在的内部威胁或关联其他犯罪活动。
表5:2025年 LockBit 身份与通信相关信息
| 类型 (Type) | 具体值 (Value) | 描述 (Description) | 时效性 (Timeliness) |
|---|---|---|---|
| 姓名 | Dmitry Khoroshev | LockBitSupp 的真实身份 | 2024年5月7日公布 |
| 出生日期 | 1993年4月17日 | LockBitSupp 的出生日期 | N/A |
| 居住地 | 俄罗斯沃罗涅日地区 | LockBitSupp 的居住地 | N/A |
| 关联业务/域名 | tkaner.com, 与 sitedev5@yandex.ru 关联的合法域名 | LockBitSupp 关联的电子商务服装店及其他合法业务 | Tkaner LLC 2021年7月注册 |
| 电子邮件地址 | d.horoshev@gmail.com, khoroshev1@icloud.com, khoroshev.d@gmail.com, horoshev@gmail.com, sitedev5@yandex.ru | LockBitSupp 的主要/合法电子邮件地址 | N/A |
| 电子邮件地址 | darkbot@smtp.ru, 3k@xakep.ru (别名: NeroWolfe) | LockBitSupp 的次要/可疑电子邮件地址 | N/A |
| 电话号码 | +7 952 102 0220, +7 951 853 9388, +7 967 341 5167, +7 473 241 4824 | LockBitSupp 的电话号码 | N/A |
| 物理地址 | 沃罗涅日,Shishkova 街,72/5,公寓165,7楼,165号楼 | LockBitSupp 截至2021年的物理地址 | 截至2021年 |
| VK 账户 | https://vk[.]com/id195770363 (已删除), https://vk[.]com/id622984899 (活跃) | LockBitSupp 的社交媒体账户 | N/A |
| 用户名/密码 | 约75名附属成员的用户名和明文密码 | 来自2025年5月泄露的LockBit数据库 | 2025年5月泄露 |
| Tox ID | 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7 | 列在其数据泄露网站的“联系我们”部分 | N/A |
第四章:总结与展望
LockBit 勒索软件的当前态势与未来趋势
尽管 LockBit 在2024年和2025年遭受了执法部门的多次重大打击,包括基础设施查封和领导人身份揭露,但其展现出惊人的韧性,能够迅速重建基础设施并发布新版本 (LockBit 4.0)。然而,这些打击及其内部数据库的泄露,已严重损害了其在网络犯罪社区的信誉和吸引附属成员的能力,导致其攻击活动量显著下降,并跌出顶级勒索软件团伙之列。
LockBit 的经历揭示了 RaaS 模式的内在脆弱性,即对信任和匿名性的高度依赖。一旦这些基础被动摇,即使是最强大的 RaaS 组织也可能面临衰落。这可能促使勒索软件生态系统向更分散、更难以追踪的模式发展,或者出现新的、更注重运营安全的 RaaS 组织来填补市场空白。RansomHub 等新竞争者的崛起已印证了这一趋势。
LockBit 持续对其恶意软件进行技术迭代,以增强隐蔽性和适应性,并扩展其攻击目标到多平台(包括 Windows, Linux, ESXi, macOS)。这种对已知漏洞的持续利用和对合法工具的滥用,将继续是其攻击的核心特征。
LockBit 的衰落与新的勒索软件团伙如 RansomHub 的迅速崛起同时发生。执法打击和内部泄露削弱了 LockBit 的竞争力,导致其市场份额被其他新晋或更具适应性的团伙所取代。这种竞争压力反过来又会促使所有勒索软件团伙不断创新其恶意软件和 TTPs,以在不断演变的防御环境中生存和繁荣。网络安全研究人员不能仅关注单个勒索软件团伙,而应采取更宏观的视角,理解整个勒索软件生态系统的动态。这意味着防御策略必须是持续演进的,能够适应新的攻击模式和威胁行为者。
对网络安全研究人员的启示与建议
应对 LockBit 这类高级勒索软件威胁,需要从传统的“点防御”转向“全面纵深防御”,并建立“适应性安全”框架。LockBit 的攻击涵盖了初始访问、横向移动、权限提升、数据外泄和防御规避等多个阶段,并利用多种技术和工具 。勒索软件团伙具有强大的韧性,能够从打击中恢复并进化 。勒索软件攻击是多阶段的,单一的防御措施不足以应对。
因此,组织需要部署多层安全控制,从预防(漏洞修补、MFA)到检测(EDR/XDR、行为分析)再到响应和恢复(备份、应急计划)。同时,由于勒索软件团伙的不断演变,防御策略也必须是动态的,能够根据最新的威胁情报和攻击模式进行调整和优化。勒索软件威胁已不再是简单的恶意软件感染,而是涉及复杂的人工操作和“商业模式”。因此,防御策略也必须超越技术层面,涵盖人员培训、流程管理和持续改进,形成一个有机的安全体系。
以下是具体的防御建议:
- 加强基础安全建设:
- 及时修补漏洞: 优先修补 LockBit 及其他勒索软件团伙已知利用的漏洞,特别是面向互联网的服务(如 VPN 网关、Web 门户、防火墙固件、Confluence 服务器、PHP 环境)。
- 强化凭证管理: 强制实施强密码策略和多因素认证 (MFA),特别是针对所有远程访问点(如 VPN, RDP)和特权账户。部署 Active Directory 密码过滤器,阻止使用公共泄露列表中已有的密码。
- 网络分段与隔离: 实施 VLANs 或零信任架构,限制横向移动。完全隔离备份系统,并确保至少一份备份存储在不可变云存储或离线磁带上。
- 部署高级威胁检测与响应能力:
- EDR/XDR 解决方案: 部署下一代防病毒/EDR/XDR 解决方案,具备行为检测能力,能够识别 LOLBAS 和 COTS 工具的滥用,以及进程镂空等规避技术。
- 应用白名单与 WDAC: 使用 AppLocker 或 Windows Defender Application Control (WDAC) 等工具来阻止未经授权的可执行文件运行。
- 持续监控: 监控注册表、文件系统和命令行活动,查找异常变化或可疑脚本执行。
- 强化数据保护与恢复策略:
- 定期备份与验证: 实施定期、多副本、异地、离线的关键数据备份策略,并定期测试备份的恢复能力。
- 保护备份基础设施: 勒索软件团伙通常会优先攻击备份系统。确保备份服务器的凭证轮换,并对任何意外的备份作业失败发出警报。
- 提升员工安全意识:
- 网络安全意识培训: 定期对员工进行网络安全意识培训,特别是针对钓鱼攻击、恶意链接和附件的识别。
- 制定并演练应急响应计划:
- 桌面演练 (Tabletop Exercises): 定期进行桌面演练,模拟勒索软件攻击场景(例如工厂虚拟化锁定或客户关系管理系统加密),包括隔离域控制器、验证离线备份以及何时/如何与攻击者谈判的步骤。
- 利用威胁情报:
- 集成最新 IOCs: 将本报告中提供的 LockBit IOCs(包括文件哈希、加密货币地址、漏洞信息等)集成到组织的威胁情报平台和安全工具中,以增强检测和响应能力。
- 关注勒索软件生态动态: 持续关注勒索软件生态系统的最新发展、新团伙的崛起和 TTPs 的演变,以便及时调整防御策略。
参考文章链接
- https://blog.qualys.com/vulnerabilities-threat-research/2025/05/08/inside-lockbit-defense-lessons-from-the-leaked-lockbit-negotiations
- [https://isomer-user-content.by.gov.sg/36/1f56c162-080e-4e49-a005-abf1fd9bd0e4/Joint%20Technical%20Advisory%20on%20LockBit%203.0%20and%204.0%20(2%20May%202025).pdf](https://isomer-user-content.by.gov.sg/36/1f56c162-080e-4e49-a005-abf1fd9bd0e4/Joint Technical Advisory on LockBit 3.0 and 4.0 (2 May 2025).pdf)
- https://analyst1.com/ransomware-diaries-volume-5-unmasking-lockbit-2/
- https://www.zerofox.com/intelligence-feed/flash-report-data-breach-exposes-operational-lockbit-information/
- https://www.bitdefender.com/en-us/blog/businessinsights/bitdefender-threat-debrief-may-2025
- https://www.trmlabs.com/resources/blog/lockbit-leak-provides-insight-into-raas-enterprise
- https://www.hipaajournal.com/lockbit-ransomware-group-hacked/
- https://foresiet.com/blog/lockbit-ransomware-panel-breached-data-dump-revealed
- https://www.techzine.eu/news/security/131777/hack-on-lockbit-may-lead-to-a-more-dangerous-threat-landscape/
- https://www.paubox.com/blog/lockbit-ransomware-group-hacked
- https://www.ontinue.com/resource/inside-lockbit-inner-workings-of-ransomware-giant/
- https://certera.com/blog/lockbit-ransomware-gang-breached-secrets-spilled-in-major-takedown/
- https://www.cran.na/lockbit-3-0-ransomware-what-you-need-to-know/
- https://analyst1.com/ransomware-diaries-volume-3-lockbits-secrets/
- https://redpiranha.net/news/threat-intelligence-report-april-1-april-7-2025
- https://analyst1.com/ransomware-diaries-volume-2/
- https://www.sdxcentral.com/analysis/law-enforcement-strike-cripples-lockbit-but-ransomware-gang-claims-its-back/
- https://www.security.com/sites/default/files/2025-02/2025_02_Ransomware_2025.pdf
- https://vicone.com/blog/lockbit-ransomware-group-data-leak-implications-for-automotive-cybersecurity
- https://moxso.com/blog/hackers-target-the-ransomware-gang-lockbit
- https://www.bitdefender.com/en-gb/blog/businessinsights/bitdefender-threat-debrief-may-2025
- http://ijcs.net/ijcs/index.php/ijcs/article/download/4839/1021/8486
- https://www.researchgate.net/publication/391372029_Static_and_Dynamic_Analysis_of_Ransomware_Insight_from_Babuk_and_Lockbit_30
- https://www.theregister.com/2025/03/14/ransomware_gang_lockbit_ties/
- https://thedfirreport.com/2025/02/24/confluence-exploit-leads-to-lockbit-ransomware/
- https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q1-2025/
- https://www.virustotal.com/gui/file/d5ea463e0719ee2d1705ff305cdd8529bd2ff23dde79c502c4f478937a91f874/behavior
- https://www.researchgate.net/publication/364221013_LockBit_20_Ransomware_Analysis_of_infection_persistence_prevention_mechanism
安全建议
1. 风险消减措施
资产梳理排查目标: 根据实际情况,对内外网资产进行分时期排查
服务方式: 调研访谈、现场勘查、工具扫描
服务关键内容: 流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
2. 安全设备调优
目标
通过对安全现状的梳理和分析,识别安全策略上的不足,结合目标防御、权限最小化、缩小攻击面等一系列参考原则,对设备的相关配置策略进行改进调优,一方面,减低无效或低效规则的出现频次;另一方面,对缺失或遗漏的规则进行补充,实现将安全设备防护能力最优化。
主要目标设备
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。
3. 全员安全意识增强调优
目标:
通过网络安全意识宣贯、培训提升全方位安全能力
形式:
培训及宣贯
线下培训课表
若无法组织线下的集体培训,考虑两种方式:
1.提供相关的安全意识培训材料,由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。
线上学习平台
以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
团队介绍
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系;
我们的数据恢复服务流程
多年的数据恢复处理经验,在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。
我们在此郑重承诺:
不成功不收费
全程一对一服务
365天不间断服务
免费提供安全方案
24h服务热线:
18894665383
17864099776
18299173318
