研究人员详细介绍了锁位勒索软件用于感染其目标的技术

通过使用广泛的技术感染目标，同时采取措施禁用端点安全解决方案，锁位勒索软件攻击不断演变。

Cybereason安全分析师Loïc Castel和Gal Romano表示：“使用LockBit服务的附属公司根据他们的偏好进行攻击，并使用不同的工具和技术来实现其目标”。“随着攻击沿着杀伤链进一步进行，不同情况下的活动往往会收敛到类似的活动。”

与大多数集团一样，LockBit采用勒索软件即服务（RaaS）模式，于2019年9月首次被观察到，此后成为今年最主要的勒索软件品种，超过了Conti、Hive和BlackCat等其他知名集团。

这涉及恶意软件作者授权访问附属公司，这些附属公司执行攻击以换取使用其工具和基础设施，并从受害者那里获得高达80%的赎金。

LockBit还利用流行的双重勒索技术，在加密目标资产之前过滤大量数据，截至2022年5月，该网络犯罪集团在其数据泄露网站上抓获了不少于850名受害者。

Attack Life Cycle - Case Study 1

Attack Life Cycle - Case Study 2

根据Palo Alto Networks 42号机组的泄漏现场数据分析，在2022年第一季度的所有勒索软件相关违约事件中，锁位占46%。仅在6月份，该组织就参与了44起袭击，成为最活跃的勒索软件。

众所周知，锁位勒索软件攻击采用了几种初始感染途径：利用公开的RDP端口，依靠仿冒电子邮件下载恶意有效载荷，或利用未修补的服务器漏洞，使附属公司能够远程访问目标网络。

在此步骤之后是侦察和凭证盗窃活动，这些活动使参与者能够在网络上横向移动，建立持久性，提升权限，并启动勒索软件。这还伴随着运行命令来删除备份和破坏防火墙和防病毒软件的检测。

自LockBit出现以来的三年里，RaaS方案得到了两次显著的升级，2021，threat actors首次推出了LockBit 2.0，并在上个月推出了该服务的第三期LockBit 3.0，支持Zcash加密货币支付选项和漏洞悬赏计划#8212；第一个是勒索软件集团。

该倡议声称，如果在其网站和locker软件中发现安全盲点、提交精彩想法、勾搭帮派联盟项目负责人，或确定可能在TOR网络上暴露网站托管服务器IP的方式，将提供高达100万美元的奖励。

bug bounty计划是黑客组织日益成为合法IT企业的另一个迹象，包括人力资源部门、定期功能发布，甚至解决挑战性问题的奖金。

然而，有迹象表明，LockBit 3.0（也称为LockBit Black）的灵感来自另一个勒索软件家族BlackMatter，这是2021关闭的DarkSide的更名版本。

Emsisoft研究人员费边·沃萨（FabianWosar）在本周早些时候的一条推特上说：“大部分代码都是直接从黑物质/暗物质中提取的”。“我想很明显，LockBit对另一组的代码下手了”。