圖片來源: 

澳洲網路安全中心

駭客利用勒索軟體LockBit 2.0攻擊的現象,最近出現數起事故。例如,於8月11日,運用該勒索軟體的駭客,宣稱攻陷IT大型顧問公司Accenture,並要求限時支付贖金,否則就要把竊得的資料公開。針對勒索軟體LockBit 2.0的攻擊事故已有數起,澳洲網路安全中心(ACSC)提出警告,表示他們近期屢屢接獲當地企業通報,發生遭到LockBit 2.0攻擊的事故。

針對此波LockBit 2.0攻擊,ACSC也透過MITRE ATT&CK框架,描敘駭客在攻擊過程中會採用的手法,並提出緩解措施。

採用雙重勒索模式要脅付款

勒索軟體LockBit(又被稱為ABCD)最早出現於2019年9月,而ACSC指出,開發這個攻擊工具的開發者,自2021年1月在俄語網路犯罪論壇上銷售,以訂閱服務的型式提供給買家使用,並採用贖金抽成的方式獲利。到了6月,開發者發布了後繼版本「LockBit 2.0」,宣稱新增了名為StealBit的竊密功能。

濫用LockBit的攻擊者往往會使用雙重勒索的招數,藉由將偷得的機密資料,上傳到位於暗網的LockBit 2.0網站,要脅受害組織付款,若是不從,就把這些資料出售或是公開。LockBit 2.0網站架設在洋蔥路由網路(Tor network),而使得攻擊者的行蹤更加隱匿。

攻擊事故於7月大幅增加

根據ACSC接獲的事故通報,澳洲當地自2020年開始,傳出遭到LockBit與LockBit 2.0攻擊的情況,但該單位指出,大部分事故都是在2021年7月通報,這代表相較於其他的勒索軟體,LockBit 2.0的攻擊行動正在急劇增加當中。

對於LockBit 2.0入侵受害組織的管道,ACSC表示,提供工具的開發者會建議買家,透過遠端桌面連線(RDP)、VPN,並搭配外洩的帳密來進行,或者,建議買家使用Cobalt Strike與Metasploit等滲透測試工具,入侵攻擊的目標。

但針對近期的攻擊事件,ACSC指出,最近攻擊者偏向利用Fortinet的SSL VPN漏洞CVE-2018-13379,基本上,這項漏洞存在於執行舊版FortiOS作業系統的網路設備,以及FortiProxy網路安全閘道產品。

而究竟LockBit 2.0被用於攻擊的對象為何?根據ACSC的觀察,濫用此勒索軟體的事故,發生在專業服務、建築業、製造業、零售業,以及食品產業等多種行業之中,ACSC認為,攻擊者挑選目標是隨機的,因為該勒索軟體能攻擊不同的產業。


熱門新聞

Advertisement