去年2月遭到美國、英國等10個國家執法單位及歐洲刑警組織(Europol)聯手,破壞基礎設施的勒索軟體駭客組織LockBit,雖然當時駭客宣稱在不到一週的時間就恢復運作,但後續不少消息都與執法單位的行動或成果有關,如今這個駭客組織宣布推出大幅改版的勒索軟體,有資安業者取得相關檔案進行分析,再度引起資安圈高度關注。
資安業者趨勢科技指出,他們近日取得LockBit 5.0最新版本的檔案並進行分析,駭客延續先前的跨平臺攻擊策略,開發了Windows與Linux版本,此外,他們也首度打造專門針對VMware虛擬化平臺ESXi版惡意軟體。這些勒索軟體存在共通的特性,那就是在加密完成的檔案當中,會任意加入16個字元的隨機副檔名,而且還會在所有檔案加密完成後,清除事件記錄檔案。
這項分析結果受到關注的原因,在於今年9月上旬,LockBit在網路犯罪論壇RAMP宣布,即將在該組織成立6週年的時候推出LockBit 5.0,號稱加密檔案的程式已重新改寫,與先前他們打造的作案工具明顯不同;此外,附屬團體(Affiliate)必須事先支付一筆費用才能存取管理主控臺,但當時LockBit 5.0並未設置公開的受害者名單網站,因此,該組織宣布企圖捲土重來的消息,許多人都抱持半信半疑的態度。
直到最近趨勢科技表明他們取得相關檔案,才證實這些駭客打算東山再起的消息並非空穴來風。該公司先找到Windows版本,後續確認了Linux版本及ESXi版本的存在。其中,Windows版本的運作,是透過DLL反射手法載入有效酬載(Payload);而Linux版本具備類似的功能,可對特定資料夾或檔案類型進行加密;至於ESXi版本,主要的功能是加密虛擬機器(VM)。
趨勢科技指出,這批新版惡意程式存在上一代4.0版的程式碼特徵,例如:相同的雜湊演算法,以及解析API的方法,這代表LockBit 5.0是從原本的程式碼基礎(Codebase)演進,而非他人模仿或盜用名號打造的新版本。
其中,新版較為特別的地方在於,駭客對附屬團體加入了說明功能(-h參數),不僅列出所有功能,還有指令的範例供參考。這代表附屬團體無須記憶相關參數及指令,只需依照說明內容,就能下達自己想要的加密命令,大幅降低技術門檻。附帶一提的是,LockBit 5.0的Linux版本特別提供執行結果的詳細事件記錄資料,可列出所有遭加密的檔案,以及被排除的資料夾。
對於這次駭客專門針對VMware打造的加密工具,趨勢科技指出,該勒索軟體與Windows版、Linux版具備相同的功能,但加入了虛擬化平臺專用的參數及功能,其中包含針對特定資料夾及虛擬機器組態檔案加密的能力。
熱門新聞
2025-11-12
2025-11-10
2025-11-10
2025-11-12
2025-11-10
2025-11-07