江民赤豹反病毒：發現并阻止新型LockBit勒索病毒

2023-11-18?來源：安全資訊

01.LockBit 發展歷程 LockBit 是自2019年以來全球更新最快最穩定的勒索病毒，用于針對企業和其他組織進行高度針對性的攻擊，自動篩查有價值的目標、傳播感染并加密網絡上所有可訪問的

01.LockBit 發展歷程

LockBit 是自2019年以來全球更新最快最穩定的勒索病毒，用于針對企業和其他組織進行高度針對性的攻擊，自動篩查有價值的目標、傳播感染并加密網絡上所有可訪問的計算機系統。該勒索病毒已經成為全球最活躍的勒索病毒之一。

LockBit 勒索病毒首次于 2019 年 9 月被發現，因其加密后的文件名后綴為.abcd，而被稱為ABCD勒索病毒。

在2021年6月發布了勒索軟件LockBit2.0版本，增加了刪除磁盤卷影和日志文件的功能，同時發布專用竊密木馬StealBit，對受害者進行雙重勒索策略

2022 年 6 月更新了勒索軟件LockBit3.0版本，由于LockBit3.0版本的一些代碼與BlackMatter勒索軟件代碼重疊，因此LockBit 3.0又被稱為LockBit Black。

02.LockBit 最新攻擊事件

11月8日，工銀金融服務有限責任公司（工銀金融）官網發布聲明稱，遭LockBit勒索軟件攻擊，導致部分系統中斷。工銀金融成立于2010年7月12日，是中國工商銀行在美全資子公司。

最近幾日，X社交媒體（原Twitter）上流出了黑客組織在某安全研究平臺VXunderground上發布 LockBit 組織代表在 Tox 上公開確認針對ICBCFS 的攻擊行為，如下圖所示：

雖然工銀金融尚未正式發布調查結果，但根據推測，攻擊者利用了CitrixBleed漏洞（CVE-2023-4966）。工銀金融的Citrix服務器最后一次上線是在周一，攻擊發生以后離線，工銀金融可能沒有對其Citrix NetScaler Gateway網關設備中的漏洞進行修補。Citrix廠商最近發布了該漏洞的補丁。這是一個嚴重高危漏洞，因為黑客組織可以輕易利用它繞過身份驗證，入侵企業系統。這個漏洞最近在針對未打補丁的政府和企業網絡的攻擊中被多次利用。目前Citrix廠商已發布新的升級漏洞補丁。

03.江民發現并阻止LockBit新型勒索病毒案例

某金融技術股份公司專注于開發創新性的軟件解決方案，是一家在行業領先的企業。然而該公司不幸成為了勒索組織攻擊的目標之一。該黑客組織采用惡意宏文件、郵件文件作為攻擊入口點，文件標題為最近熱門話題，誘導用戶點擊惡意文件。赤豹終端安全軟件在新型勒索軟件造成大規模破壞之前，展現了優秀的檢測能力，成功發現并阻止了LockBit新型勒索軟件在其內網服務器上的執行，為用戶的核心資產安全提供了堅實的保障。