LockBit 3.0 勒索軟體攻擊事件202401

近期已有數家國內知名企業受到名為 LockBit 有組織的勒索軟體攻擊,LockBit 最早是在 2019 年 9 月被發現,時至今日已演化至 3.0 版本,駭客組織主要是利用帳號密碼暴力破解、系統和應用程式安全性漏洞以及社交工程等方式進行入侵,一旦成功入侵,便會在受害電腦執行LockBit 勒索軟體進行檔案加密以及資料竊取,並顯示勒索訊息;博通賽門鐵克及趨勢科技已針對上述攻擊活動新增多項防護特徵,請各企業用戶保持各項定義檔更新以強化防護。

Symantec可攔阻特徵類型

檔案防護特徵 行為防護特徵 網路防護 可攔阻版本
Downloader

OSX.Ransom.Lockbit

Packed.Generic.686

Ransom.Lockbit

Ransom.Lockbit!g1

Ransom.Lockbit!g2

Ransom.Lockbit!g6

Ransom.Lockbit!g7

Ransom.Lockbit!gen3

Ransom.Lockbit!gen4

Ransom.Lockbit!gen5

Ransom.Lockbit!gm1

Scr.Malscript!gen1

Trojan.Gen.2

Trojan.Gen.MBT

Trojan Horse

WS.Malware.1

Ransom.Blackmater!gm

SONAR.Cryptlocker!g42

SONAR.ProcHijack!gen5

SONAR.ProcHijack!g45

SONAR.Ransomware!g2

SONAR.Ransomware!g7

SONAR.RansomLckbit!g1

SONAR.RansomLckbit!g2

SONAR.RansomLckbit!g3

SONAR.RansomLckbit!g4

SONAR.RansomLckbit!g5

SONAR.RansomNokibi!g1

SONAR.SuspBeh!gen82

SONAR.SuspBeh!gen742

SONAR.SuspLaunch!gen4

SONAR.SuspLaunch!gen18

SONAR.SuspLaunch!g189

SONAR.SuspLaunch!g190

SONAR.SuspLaunch!g193

SONAR.SuspLaunch!g195

SONAR.SuspLaunch!g253

SONAR.SuspReg!gen28

SONAR.UACBypass!gen30

Attack: Ransom.Lockbit Activity

Attack: Ransom.Lockbit Activity 2

Attack: Ransom.Lockbit Activity 3

Web Attack: Webpulse Bad Reputation Domain Request

Web Attack: Fortinet FortiOS Directory Traversal CVE-2018-13379

Attack: Lockbit Ransomware Binary Copy GPO Config

Attack: Lockbit Ransomware Enable Share GPO Config

Attack: Lockbit Ransomware Security Services Taskkill GPO

Attack: Lockbit Ransomware Services Disable GPO Config

病毒防護特徵碼:2024/01/17 rev.7

主動防護特徵碼:2024/01/17 rev.1

網路防護特徵碼:2024/01/17 rev.61

說明文件 Protection Highlight:LockBit – Prolific, Persistent, Preventable

Trend Micro可攔阻特徵類型

       檔案及行為防護特徵 可攔阻版本
Ransom.Win32.LOCKBIT.YXCGD

Ransom.Win32.LOCKBIT.YXCGFT

Ransom.Win32.LOCKBIT.YXCGKT

Ransom.PS1.LOCKBIT.YXCGTT

19.103.00
說明文件

LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities

銳傑科技建議

針對此一攻擊手法,建議參考以下注意事項:

  1. 確認伺服器及端點電腦確實安裝端點防護系統並保持定義檔持續更新。
  2. 確保電腦應用程式及作業系統完成安全性更新至最新版本。
  3. 定期進行重要主機備份,並以三二一原則(至少備份 3 份、使用 2 種不同的備份方式、其中 1 份放在異地)妥善保存重要檔案。
  4. 開啟端點防護自我防護功能並設定為攔截。
  5. 設定端點防護移除及停用密碼。
  6. 禁止用戶端設定例外政策。
  7. 確認各系統安全事件日誌是否有可疑活動紀錄。
  8. 清查企業Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號。
  9. 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
  10. 監控企業DC 伺服器的重要資料夾,如:netlogon 共享資料夾及 GPO 群組政策 Script 資料夾的檔案異動情況。
  11. 強化伺服器主機(Windows、Linux 系統)安全防護機制,評估伺服器主機安裝並啟用防護應用程式及裝置控管功能。
  12. 透過 VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。

參考網站

Protection Highlight:LockBit – Prolific, Persistent, Preventable

LockBit: Ransomware Puts Servers in the Crosshairs

LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities