近期已有數家國內知名企業受到名為 LockBit 有組織的勒索軟體攻擊,LockBit 最早是在 2019 年 9 月被發現,時至今日已演化至 3.0 版本,駭客組織主要是利用帳號密碼暴力破解、系統和應用程式安全性漏洞以及社交工程等方式進行入侵,一旦成功入侵,便會在受害電腦執行LockBit 勒索軟體進行檔案加密以及資料竊取,並顯示勒索訊息;博通賽門鐵克及趨勢科技已針對上述攻擊活動新增多項防護特徵,請各企業用戶保持各項定義檔更新以強化防護。
Symantec可攔阻特徵類型
檔案防護特徵 | 行為防護特徵 | 網路防護 | 可攔阻版本 |
Downloader
OSX.Ransom.Lockbit Packed.Generic.686 Ransom.Lockbit Ransom.Lockbit!g1 Ransom.Lockbit!g2 Ransom.Lockbit!g6 Ransom.Lockbit!g7 Ransom.Lockbit!gen3 Ransom.Lockbit!gen4 Ransom.Lockbit!gen5 Ransom.Lockbit!gm1 Scr.Malscript!gen1 Trojan.Gen.2 Trojan.Gen.MBT Trojan Horse WS.Malware.1 |
Ransom.Blackmater!gm
SONAR.Cryptlocker!g42 SONAR.ProcHijack!gen5 SONAR.ProcHijack!g45 SONAR.Ransomware!g2 SONAR.Ransomware!g7 SONAR.RansomLckbit!g1 SONAR.RansomLckbit!g2 SONAR.RansomLckbit!g3 SONAR.RansomLckbit!g4 SONAR.RansomLckbit!g5 SONAR.RansomNokibi!g1 SONAR.SuspBeh!gen82 SONAR.SuspBeh!gen742 SONAR.SuspLaunch!gen4 SONAR.SuspLaunch!gen18 SONAR.SuspLaunch!g189 SONAR.SuspLaunch!g190 SONAR.SuspLaunch!g193 SONAR.SuspLaunch!g195 SONAR.SuspLaunch!g253 SONAR.SuspReg!gen28 SONAR.UACBypass!gen30 |
Attack: Ransom.Lockbit Activity
Attack: Ransom.Lockbit Activity 2 Attack: Ransom.Lockbit Activity 3 Web Attack: Webpulse Bad Reputation Domain Request Web Attack: Fortinet FortiOS Directory Traversal CVE-2018-13379 Attack: Lockbit Ransomware Binary Copy GPO Config Attack: Lockbit Ransomware Enable Share GPO Config Attack: Lockbit Ransomware Security Services Taskkill GPO Attack: Lockbit Ransomware Services Disable GPO Config |
病毒防護特徵碼:2024/01/17 rev.7
主動防護特徵碼:2024/01/17 rev.1 網路防護特徵碼:2024/01/17 rev.61 |
說明文件 | Protection Highlight:LockBit – Prolific, Persistent, Preventable |
Trend Micro可攔阻特徵類型
檔案及行為防護特徵 | 可攔阻版本 |
Ransom.Win32.LOCKBIT.YXCGD
Ransom.Win32.LOCKBIT.YXCGFT Ransom.Win32.LOCKBIT.YXCGKT Ransom.PS1.LOCKBIT.YXCGTT |
19.103.00 |
說明文件
LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities |
銳傑科技建議
針對此一攻擊手法,建議參考以下注意事項:
- 確認伺服器及端點電腦確實安裝端點防護系統並保持定義檔持續更新。
- 確保電腦應用程式及作業系統完成安全性更新至最新版本。
- 定期進行重要主機備份,並以三二一原則(至少備份 3 份、使用 2 種不同的備份方式、其中 1 份放在異地)妥善保存重要檔案。
- 開啟端點防護自我防護功能並設定為攔截。
- 設定端點防護移除及停用密碼。
- 禁止用戶端設定例外政策。
- 確認各系統安全事件日誌是否有可疑活動紀錄。
- 清查企業Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號。
- 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
- 監控企業DC 伺服器的重要資料夾,如:netlogon 共享資料夾及 GPO 群組政策 Script 資料夾的檔案異動情況。
- 強化伺服器主機(Windows、Linux 系統)安全防護機制,評估伺服器主機安裝並啟用防護應用程式及裝置控管功能。
- 透過 VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。
參考網站
Protection Highlight:LockBit – Prolific, Persistent, Preventable
LockBit: Ransomware Puts Servers in the Crosshairs
LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities