热帖：勒索工行美国分行的LockBit是个什么组织？

11月8日，中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS），受到Lockbit勒索软件组织攻击。

虽然ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，但此次攻击仍然导致部分系统中断。

由于无法进入系统，因此ICBCFS暂时拖欠纽约(专题)梅隆银行90亿美元的未结算交易。

纽约梅隆银行是美国公债的唯一结算代理行，因此工行中国母公司向美国分行注资，使其能够结算交易并偿还纽约梅隆银行的欠款。此外，攻击还导致中国工商银行的企业电邮系统停止运作，迫使员工改用Google邮件。

ICBCFS在声明中表示，正在专业信息安全专家团队的支持下推进恢复工作，随后，基本上恢复正常。

Lockbit勒索软件组织告诉媒体，称ICBCFS已经按要求支付了赎金。

01

LockBit RaaS是如何上位的？

勒索软件组织LockBit RaaS成立于2019年。

一开始，全球勒索软件老大是一个叫Conti的勒索软件，俄乌战争后，团队中的人各支持一方，发生内讧。

一名来自乌克兰的成员，为了报复，泄漏他们内部的聊天记录和数据。信息暴露导致团伙不敢再继续勒索，LockBit上位成为榜首大哥，他们的口号是：“让勒索软件再次伟大。”

根据MS-ISAC 的说法，2022 年，LockBit 是全世界部署最多的勒索软件变种，并在 2023 年持续“高产”。

在2022年下半年和2023年初，LockBit在所有勒索软件攻击中占据了三分之一以上的份额。

近期，美国当局及其在澳大利亚、加拿大(专题)、英国、德国、法国和新西兰的国际合作伙伴表示，短短三年内，它已成为全球最大的勒索软件。

LockBit的成员曾经公开表示：我们是有道德准则的，不会攻击医疗保健、教育、慈善组织和社会服务行业。但实际上，他们的攻击遍布金融服务、食品和农业、教育、能源、政府和应急服务、医疗保健、制造业和运输等多个行业。

从地理范围看，LockBit的攻击范围包含亚洲、欧洲和非洲等世界各地，美国是最大受害者。

美国和国际网络安全机构表示自2020 年以来，该团伙对美国实体组织发动了约 1700 次攻击，成功勒索了约9100万美元，遍及金融服务、食品业、学校、交通和政府部门等各个领域。

这些受害者包括大陆汽车巨头、英国皇家邮政、意大利国内税务局以及奥克兰市。

02

LockBit的两种“盈利模式”

LockBit赚钱的第一个模式是加密重要文件，然后勒索。

LockBit勒索软件首先通过钓鱼邮件、对账户进行暴力攻击、漏洞等方式，获取网络的初始访问权。然后，进入受害者的网络感染第一个主机，并通过这台主机将感染传播到网络中的多个设备。

比如，通过打印机服务器本地账户权限作为据点，提升到域管理员权限，逐步定位到域控、Exchange邮件服务器、共享文件服务器等多个核心服务器。

最后，对内网多个终端的关键性文件进行加密，并在受害者的受损设备上显示勒索通知，而只有使用LockBit的专有解密工具才能解密这些文件。

在勒索信中，受害者被告知要用加密货币来支付赎金。攻击者会威胁，如果不及时支付赎金，就会删除客户的敏感数据。支付了赎金，文件和系统通常就会被解锁，但也有可能不讲信誉再次勒索。

根据LockBit在暗网上的资料显示，Lockbit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件仅需要4分半钟。Lockbit使用 AES 密钥通过RSA-2048加密。

按目前的计力，要破解RSA-1024位密钥至少就需要两年时间，而破解2048位密钥起码需要80年。所以，ICBCFS能恢复正常，向Lockbit支付了赎金的说法应该是真实的。

LockBit赚钱的另一个模式是，偷文件，勒索不成就出售或公开这些数据。