LockBit 起底网络立功个人 黑客环球的 狂飙

“在京海，天上掉下个钢镚都得姓高。”在热播电视剧《狂飙》中，高启强的弟弟高启盛在KTV里无比猖狂的说着这句话。

黑客环球里也有“狂飙”，在网络空间之中，有一个立功个人堪比高启强立功团伙，依托手中意外犀利的攻打加密技术，黑了有数大型跨国个人、政府机构、事业组织等，一年发布的敲诈赎金金额上亿美元，更是嚣张地在暗网发布了一切的被敲诈名单，这些受益机构一旦遭到攻打，轻则形成业务系统瘫痪，遭受经济损失，重则造成社会性服务的中止，影响市区甚至国度反常运转。

由此可见，其猖狂水平和高启盛有的一拼。而当我们细细开掘该立功个人的“狂飙之路”，却又发现其发家历程和强盛个人十分相似。

它就是“LockBit”，一个臭名昭著的敲诈组织。

似乎“狂飙”里，强盛个人一路过关斩将，把京海市诸多老牌黑恶权利团队打落马下一样，掌控着外地的地下市场。LockBit敲诈组织经过自我三次迭代，极速逾越各大老牌敲诈组织，最终在2022年登上了LockBit敲诈软件畛域的NO.1。

他们都是从石破天惊开局，却一路狂奔，短期间内声名鹊起，成为了行业的领头羊。当天，我们来聊聊LockBit敲诈组的那些事。

一、处于NO.1位置的LockBit的敲诈组织

2022年，在环球数字化转型的大浪潮下，环球网络情势愈发严格，其中尤其以敲诈攻打最令人头疼，轻则影响公司业务反常运转，重则数据被加密，索取巨额赎金。

好在在环球各国/地域不遗余力的打击之下，2022年敲诈攻打全体出现降低趋向。依据 Google 子公司 Mandiant 的报告，敲诈攻打在2022年似乎遭逢了“曲折”：Mandiant 照应的敲诈软件事情缩小了 15%。而敲诈软件组织索取的赎金平均金额降低了 28%，从一年前的 570 万美元缩小到 410 万美元。

另一家安保公司 CrowdStrike 以为，要素包含敲诈软件组织的成员遭到拘捕，比特币等加密货币的币值降高等。依据 Chainalysis 的剖析，2022 年敲诈软件组织的总支出从 2021 年的 7.656 亿美元降低到 2022 年的大概 4.568 亿美元，降低了 40.3%。受益者支付赎金的概率也在降低。

就在敲诈攻打行业面临全体下行的趋向下，LockBit却出现出逆势大幅增长的趋向。就像狂飙里高启强的经典台词：我会怕风浪吗？风浪越大，鱼越贵！LockBit也是如此，在2022年面临渺小的打击力度下，它却反而活的愈加滋养。

网络安保公司 Malwarebytes 发布的最新报告显示，在 Windows 平台上 2022 年影响最大的敲诈软件是 LockBit，它占敲诈软件即服务（RaaS）攻打的三分之一。

另一份报告数据显示，在2022年5月份之前，LockBit简直是一骑绝尘，在环球范围内打穿超越 850 多家企业机构的进攻系统，占同期间段内一切敲诈软件关系攻打事情的 46%。

据网络安保公司 Dragos 的数据，2022年第二季度针对工业系统的敲诈软件攻打中，约有三分之一是由 LockBit动员的，对工控畛域内不少大型企业形成了渺小的打击。而Deep Instinct发布的报告指出，在2022上半年，LockBit动员的敲诈攻打约占总攻打数的44%。

短短三年，LockBit敲诈软件团伙的受益者数量已高达一千多个，是老牌敲诈软件组织 Conti 的 2 倍，更是 Revil 的 5 倍缺乏。

值得一提的是，LockBit敲诈组织的赎金取得率也在诸多老牌敲诈组织之上。就2022年数据来看，提出的1亿美元的赎金需求中，敲诈成功率高达超越一半，令有数企业谈虎色变。

难怪有企业安保专家称，LockBit曾经成为环球的公敌。

如此高的成功率和LockBit所提倡的敲诈软件即服务（RaaS）攻打方式密无法分。所谓敲诈软件即服务（RaaS）是一套靠敲诈攻打赚钱的盈利形式。与个别的软件公司无异，从开发到开售再到运营，敲诈产业链各个环节的树立与协作未然成熟。在规模效益促成各环节赚取更多支出的背景下，越来越多的敲诈攻打来自于RaaS。

在LockBit的RaaS形式中，该组织的运营团队只收取20%的赎金分红，残余的赎金所有散发给其隶属组织，高额的分红吸引了少量的敲诈攻打团伙，也让导LockBit的敲诈组织规模迅速扩展，是其登顶NO.1的外围杀手锏。

二、LockBit 1.0：初入江湖，石破天惊

2019 年 9 月，LockBit敲诈病毒第一次性正式亮相，因其经常使用.abcd的后缀名来标志已加密的受益者文件，被称惯为“ABCD”敲诈软件。早期版本中，LockBit1.0十分不成熟，作案环节中加密软件不只经常使用固定的互斥锁，甚至会残留一些易被杀软、沙箱等安保软件识别和阻拦的debug的函数。

随着组织规模不时开展，LockBit1.0开局驳回RaaS（Ransomware-as-a-service，敲诈软件及服务）形式运营，并在一个驰名的俄语论坛XSS上为其协作方案启动广告推行。

八个月后，LockBit1.0 敲诈软件运营商又更新了敲诈战略，创立了一个用于地下受益者数据的站点，配合文件加密，试图进一步施压受益者，以期达成“双重敲诈”的目的。

经过几次小的更新后，相较于其它敲诈软件，LockBit 1.0作案手腕更为高明。在针对Windows系统时，加密环节驳回RSA+AES算法加密文件，经常使用IOCP成功端口+AES-NI指令集优化上班效率，从而成功高性能加密流程，一旦成功加密文件后，一切受益者文件会被参与无法破解的.abcd扩展后缀。

LockBit 敲诈软件1.0期间，显示敲诈信息的方式关键经过修正受益者系统桌面壁纸（显示敲诈信息），并留下名为Restore-My-Files.txt的敲诈信，要求受益者登录暗网，以比特币和门罗币两种方式交纳赎金。

LockBit 1.0 期间

这个期间的LockBit敲诈组织在整个敲诈攻打畛域还处于石破天惊的位置，既没有拿得出手的敲诈攻打事情，又没有十分高明的敲诈攻打技术，似乎还在市场上卖鱼的高启强，还处于冬眠阶段。但无法否定的是，在见识了敲诈攻打的暴利之后，LockBit敲诈组织和刚刚尝到权益苦头的高启强一样，心坎的野心曾经在疯狂成长。

三、LockBit2.0牛刀小试，初露矛头

LockBit1.0 的狂飙之路并不顺利，进入 2021年后，可以发现其攻打优惠显著缩小。此时的它们也看法到和顶级敲诈团队的差距，回去默默地修炼内功。

2021年6月，经过持久冬眠，LockBit敲诈组织在其泄密网站上发表高调回归，并带来全新版本—LockBit2.0。其宣传广告中，LockBit 团队强调新版本提供了Tor 网络中的控制面板、智能启动解密测试服务、弱小的扫描器配置等愈加丰盛的配套服务（卷，死命卷）。

依据剖析来看，LockBit2.0敲诈软件连续了前一版本攻打手法，加密方式依然驳回经常出现的RSA+AES组合，加密后文件扩展名均为.lockbit ，但加密速度变得更快。

LockBit 2.0版本的敲诈软件成功加密系统后，会立刻改换桌面壁纸，并留下名为Restore-My-Files.txt的敲诈信。

LockBit 2.0 赎金票据

LockBit敲诈团伙号称新版本是全环球加密速度最快的敲诈软件，加密速度可达373MB/s，是1.x版本加密速度的1.4倍，一分钟内大概可以加密25000个文件，远超其它敲诈软件。

此外，LockBit2.0 中新参与了磁盘卷影和日志文件删除等新配置，使得加密后文件更难复原。更为恐惧的是，LockBit团伙还开发了自己独有的数据窃取工具“StealBit”提供应隶属团伙，以作为招募隶属方案的一局部，到达“双重敲诈”的目的（StealBit窃密工具速度可到达83.46MB/S，下载100G的文件用时只要要19分钟58秒）。

四、LockBit 3.0疯狂的成名之路

经过前两个版本的迭代，LockBit敲诈组织曾经筹划了好几期十分具备代表性的敲诈攻打事情，品味到了敲诈攻打的红利，愈加坚决继续迭代更新的信心。

2022 年 6 月发布的LockBit 3.0版本中，改良了RaaS操作，引入敲诈软件破绽赏金方案，约请安保钻研人员提交破绽报告，以换取1000美元至100万美元的奖金。

相比前两代，LockBit 3.0敲诈软件在赎金票据做了很大的扭转，不再名为Restore-My-Files.txt，而是一个名为“ [random_string].README.txt ”）的随机灵活文本，加密扩展名变动为“HLJkNskoq”或“19MqzqzOs”随机静态方式，且锁定文件的图标为ico方式。

LockBit 3.0 桌面壁纸

LockBit 3.0 赎金票据

教训三次严重改版后，推出了更具备针对性、破坏性、隐蔽性的现行版本。LockBit 3.0推进去仅2个多月的期间，就在其暗网网站上发布了二百多个受益者，可见其攻打频率之高。

（Lockbit 敲诈家族的开展图源：坚信服千里目试验室）

更可怕的是Lockbit3.0甚至还引入了一个“赏金方案”。似乎企业发布破绽赏金方案处罚白帽黑客来开掘破绽一样，Lockbit3.0的赏金方案也是约请黑客来发现它们敲诈软件的缺乏之处。这也是敲诈畛域首个“赏金方案”，充沛展现出了Lockbit组织那极端庞大的野心。我也可以构想，经过了“赏金方案”的洗礼，Lockbit的敲诈攻打必然会愈加难以进攻，值得我们提高警觉。

五、一场搅动华尔街巨头的敲诈攻打

2022年，Lockbit的最高光时辰当属对大宗商品金融数据公司ION Trading UK的敲诈攻打。该攻打间接让华尔街、大型银行、买卖所、监管机构都懵了，环球衍生品买卖员也因此都“瞎了”。

ION Trading UK是一家大宗商品金融数据公司，其清理衍生品部门在往年1月下旬遭到敲诈软件攻打，局部衍生品系统被禁用，环球多家大型银行、买卖所和监管机构因此遭到株连。

自电子系统问世以来，期货市场不时依赖以ION为首的数据公司消费的智能化软件来解决买卖。ION是少数几家能够解决经纪商买卖婚配和协调这一复杂但关键上班的公司之一。

当ION被攻打后，整个期货市场间接就崩了，似乎回到了上世纪80年代：买卖员和经纪商们纷繁开局经常使用电子表格来手动跟踪买卖。网络安保公司Quod Orbis的首席执行官Martin Greenfield补充说道，“这关于大少数银行来说，无疑是一场噩梦。”

据外媒报道，ION被攻打或许影响到的银行包含加拿大皇家银行（RBC）、瑞银（UBS）、麦格理（Macquarie）、荷兰银行（ABN Amro）的清理部门，以及意大利资产规模最大的联结圣保罗银行（Intesa Sanpaolo）。

华尔街特大型买卖柜台亦绷紧了神经：青眼该衍生品平台的花旗个人、美国银行、摩根士丹利等大型银行机构正在细心评价经过ION系统发送的买卖信息。有知情人士称，只管华尔街大型银行在证券等市场的业务尚未被殃及，但最新举动凸显出银行业的审慎，毕竟ION的衍生品平台简直被一切的大型银行所驳回。

受涉及还有期货买卖所及监管部门。美国商品期货买卖委员会（CFTC）发表推延三周发布其买卖商承诺（COT）报告；泛欧买卖所（Euronext）推延发布大宗商品衍生品持仓周报；洲际买卖所（ICE）则无法依照欧洲规定的要求提供每周期货头寸报告。

最后，ION无法顶住各方带来的渺小压力，向Lockbit敲诈组织交纳了赎金，取得了对方提供的解密密钥，极速成功了断线后的复原进程。

毫无不懂，这是一场令金融行业印象深入的敲诈攻打，也让Lockbit敲诈组织的小名被各大金融巨头所熟知，发生的渺小危害让这些华尔街巨头们照旧心缺乏悸。

六、LockBit敲诈软件席卷环球

ION 敲诈攻打案例仅仅是诸多战绩之一，在其全体开展环节中对环球企业机构启动了有数攻打行为，受益者涵盖政府，动力、航空航天、信息技术、咨询、交通等泛滥关键行业，涉及英国、美国、澳大利亚、意大利、奥天时、比利时、巴西、德国等数十个国度。

讥刺的是，LockBit 敲诈软件出道时，曾喊出“让敲诈软件再次平凡”的响亮口号，而且似乎正在超着这个指标行进。

这里罗列LockBit 敲诈软件攻打的局部受益者：

(1) 法国司法部

Lockbit 2.0 敲诈软件时代，其暗网博客上法国司法部参与到受益者名单中，并要挟其肯定在 2 月 10 日前支付赎金，否则一切被盗数据都将被发布至暗网，随后，法国司法部回应称已知悉状况并采取措施踊跃应答；

(2) 加拿大、德国军方供应商Top Aces

2021年5月，加拿大、德国军方的独家战机培训供应商Top Aces泄漏遭到LockBit敲诈软件攻打。不久后，LockBit团伙的官网网站放出要求，若是收不到赎金将发布窃取的44GB外部数据。

(3) IT咨询巨头财产500强公司埃森哲

21年8月，环球IT咨询巨头财产500强公司埃森哲遭逢了LockBit敲诈软件组织的敲诈软件网络攻打。该组织宣称从埃森哲窃取了6TB的数据，并要求支付5000万美元的赎金。

(4) 曼谷航空公司

21年8月，LockBit软件敲诈团伙攻打了曼谷航空公共有限公司。事情出现之后，该航空公司立刻与网络安保专家协作，核实了损坏的数据和受影响的乘客，并采取其余关系措施增强公司信息系统树立。

(5) 美国加利福尼亚州财政部

22年4月，LockBit敲诈软件团伙在其Tor泄密网站上发布信息示意，他们对美国加利福尼亚州财政部实施了入侵并成功窃取了数据库、秘密资料、财务文件和IT文件。随后不久加州州长紧急服务办公室证明，财政部确实遭到了网络事情的影响。

(6) 意大利税务局

2022年7月，意大利《晚邮报》报道，敲诈软件团伙Lockbit成功入侵了意大利税务局，并从中窃取了约78GB数据，尔后更是要挟意大利税务局在5天内支付赎金，否则将发布盗取的所有数据。

(7) 法国电信运营商La Poste Mobile

2022年7月4日，Lockbit敲诈软件团伙袭击了法国电信运营商La Poste Mobile，成功进入其网站和客户系统，盗取了员工计算机中的局部文件。

(8) 微软主机

2022年7月，LockBit 3.0敲诈软件在被破坏的Exchange主机上部署了Web shell，而后只花了7天时间就将权限更新为优惠目录控制员，并在加密网络中托管的系统之前窃取了大概1.3TB的数据。

(9) 英国汽车经销商个人Pendragon

(10) 咨询和IT服务提供商Kearney & Company

2022年11月，敲诈团伙LockBit宣称窃取了咨询和IT服务提供商Kearney & Company的数据，尔后不久便将该公司参与到被攻打名单中，并要挟假设不付赎金，会在2022年11月26日之前发布窃取的数据。

能够启动如此多的敲诈执行，可见LockBit敲诈软件组织和强盛个人一样都深谙“运营之道”。没有做吃山空，而是经过不连续迭代和优化，最终成为令企业谈虎色变的敲诈组织。

七、敲诈软件进攻指南

敲诈软件的危害照旧在疯狂蔓延，若行业内不能够投入足够留意力，敲诈软件或许会继续横蛮成长，直至无敌于“网络江湖”。此外，敲诈软件控制是网络攻打者和安保人员双方的竞赛，须要耐烦、战略、机遇、方式。

以 LockBit敲诈软件为例，在继续迭代更新每一个版本的攻打方式、战略、入侵点等，安保人员很难构成完备的修复体系。因此，在敲诈软件控制环节中，预防远远比修复更关键，采取系统化，综合施策、系统控制、多方联结，构成预防敲诈软件的围墙，剧烈建议大家做好以下防护措施：

及时给办公终端和主机打补丁：对操作系统以落第三方运行及时打补丁，防止攻打者经过破绽入侵系统。