01. LockBit 发展历程

LockBit 是自2019年以来全球更新最快最稳定的勒索病毒，用于针对企业和其他组织进行高度针对性的攻击，自动筛查有价值的目标、传播感染并加密网络上所有可访问的计算机系统。该勒索病毒已经成为全球最活跃的勒索病毒之一。

LockBit 勒索病毒首次于 2019 年 9 月被发现，因其加密后的文件名后缀为.abcd，而被称为ABCD勒索病毒。
在2021年6月发布了勒索软件LockBit2.0版本，增加了删除磁盘卷影和日志文件的功能，同时发布专用窃密木马StealBit，对受害者进行双重勒索策略。
2022 年 6 月更新了勒索软件LockBit3.0版本，由于LockBit3.0版本的一些代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black。

02.LockBit 最新攻击事件

11月8日，工银金融服务有限责任公司（工银金融）官网发布声明称，遭LockBit勒索软件攻击，导致部分系统中断。工银金融成立于2010年7月12日，是中国工商银行在美全资子公司。

最近几日，X社交媒体（原Twitter）上流出了黑客组织在某安全研究平台VXunderground上发布 LockBit 组织代表在 Tox 上公开确认针对ICBCFS 的攻击行为，如下图所示：
虽然工银金融尚未正式发布调查结果，但根据推测，攻击者利用了CitrixBleed漏洞（CVE-2023-4966）。工银金融的Citrix服务器最后一次上线是在周一，攻击发生以后离线，工银金融可能没有对其Citrix NetScaler Gateway网关设备中的漏洞进行修补。Citrix厂商最近发布了该漏洞的补丁。这是一个严重高危漏洞，因为黑客组织可以轻易利用它绕过身份验证，入侵企业系统。这个漏洞最近在针对未打补丁的政府和企业网络的攻击中被多次利用。目前Citrix厂商已发布新的升级漏洞补丁。

03.江民发现并阻止LockBit新型勒索病毒案例

某金融技术股份公司专注于开发创新性的软件解决方案，是一家在行业领先的企业。然而该公司不幸成为了勒索组织攻击的目标之一。该黑客组织采用恶意宏文件、邮件文件作为攻击入口点，文件标题为最近热门话题，诱导用户点击恶意文件。赤豹终端安全软件在新型勒索软件造成大规模破坏之前，展现了优秀的检测能力，成功发现并阻止了LockBit新型勒索软件在其内网服务器上的执行，为用户的核心资产安全提供了坚实的保障。

04.LockBit攻击样本分析

该新型勒索组织在新的“3.0 版”泄漏网站上发现了许多受害者，这些网站是一系列公开博客，命名不合规的受害者并泄露提取的数据。

该样本文件运行以后会出现以下勒索提示信息：
1、该样本文件具有反调试功能，通过使用未导出函数实现了两种反调试手段： 第一种通过设置线程状态来实现对调试器隐藏。 第二种则通过对关键API打补丁来绕过调试器。
2、在对样本调试分析当中，发现Lockbit3.0需要一个pass参数来解密其主程序，否则逆向进程就会崩溃自解密区段，对.text、.data、.pdata三个区段进行解密操作。
3、该样本中文件目录排除列表是操作系统运行所需的常用系统目录：
4、然后样本在C:\ ProgramData下生成lockbit的图标文件用于将感染文件图标进行替换，主要是通过关联注册表的方式实现。
5、RSA公钥的前八个字节+随即生成的八字节作为个人ID。
6  对于系统上的文件，需要进行三步判断来进行加密：（1）判断当前文件是否为目录；（2）判断是否为白名单文件夹；（3）判断文件大小是否为0、扩展名是否在白名单中；当三个条件都满足才会进行加密。

05.赤豹反病毒实验室给出的对抗防御措施

1、安装江民反病毒产品并将病毒库升级为最新版本，并定期进行全盘扫描。
2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。
3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。
4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。
5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。
7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。