LockBit 5.0扩大攻击范围，勒索软件威胁持续升级

新版LockBit勒索软件的幕后黑手在9月份大幅扩大了攻击目标范围，这发生在勒索软件攻击整体上升的背景下。根据安全行业数据显示，与8月份相比，勒索软件攻击增长了超过四分之一。

NCC Group最新的月度威胁脉搏报告显示，攻击数量在六个月来首次上升，增长28%至421起观察到和报告的事件。虽然这不是历史最高水平，但该公司的威胁团队表示，这可能预示着随着节日季节临近，攻击活动将重新升级。

NCC威胁情报负责人Matt Hull表示："9月份攻击的增长可能表明我们最近看到的下降趋势现在已经结束。随着攻击者的繁忙季节临近——黑色星期五和圣诞节即将到来——组织不能掉以轻心。最近对交通和零售行业的攻击特别显示了破坏可能有多严重。组织需要确保拥有强大的第三方风险管理、快速事件响应和主动安全策略。"

虽然NCC的报告称目前Qilin、Akira和INC Ransom操作主导着攻击格局，但Check Point的情报显示，在逃的LockBit操作者正在使用LockBit 5.0 Chuongdong变体攻击美洲、亚洲和欧洲的组织，并在9月份至少攻击了十几个受害者。

LockBit曾经是NCC数据集中最主要的勒索软件即服务团伙，但在18个月前的2024年2月，英国国家犯罪署在一次名为"克罗诺斯行动"的协调跨国打击中重创了该组织。当时该团伙负责多达三分之一的数据泄露网站受害者发布。

然而，尽管这次高效的打击行动在网络犯罪地下世界造成了重大破坏，LockBit的管理员LockBitSupp——公开身份为俄罗斯公民Dmitry Khoroshev——继续嘲弄追捕者，并在8月份使用RAMP论坛宣布该组织正在重新开始工作。

根据Check Point情报团队的信息，LockBitSupp不仅在RAMP上重新获得了影响力，还试图通过尝试在竞争对手XSS论坛重新获得资格来修复其受损的声誉，他此前已被该论坛封禁。这次尝试失败了，Check Point表示这可能反映了该论坛用户对执法部门渗透范围日益增长的警惕性。

据Check Point称，LockBit 5.0引入了四个核心更新来增强加密器的效率、安全性和隐蔽性。它现在拥有多平台支持，可以针对Windows、Linux和ESXi系统构建，增强的反分析功能使调查人员的工作更加困难，加密速度更快，以及随机化的16字符文件扩展名以逃避检测。

同时，其附属控制面板为勒索软件即服务用户提供了改进的管理界面，加入合作伙伴计划还需要500美元（375英镑）的比特币预付款。

Check Point团队表示："LockBit的重新出现凸显了该组织的韧性和复杂性。尽管面临高调的执法行动和公开挫折，该组织再次成功恢复运营、招募附属机构并重新开始勒索。凭借其成熟的勒索软件即服务模式、跨平台覆盖能力和在网络犯罪分子中的既定声誉，LockBit的回归对所有行业的组织构成了新的威胁。9月份的感染浪潮很可能只是更大规模攻击活动的开始——10月份的发布可能会证实该组织的全面运营恢复。"

Q&A

Q1：LockBit 5.0相比之前版本有什么新功能？

A：LockBit 5.0引入了四个核心更新：多平台支持（可针对Windows、Linux和ESXi系统）、增强的反分析功能使调查更困难、更快的加密速度，以及随机化的16字符文件扩展名来逃避检测。

Q2：LockBit组织之前遭受了什么打击？

A：LockBit在2024年2月遭受了英国国家犯罪署发起的名为"克罗诺斯行动"的协调跨国打击，这次行动在网络犯罪地下世界造成了重大破坏，当时该团伙负责多达三分之一的数据泄露网站受害者发布。

Q3：为什么9月份勒索软件攻击会增加？

A：根据NCC Group报告，9月份勒索软件攻击增长28%至421起事件，可能预示着随着节日季节（黑色星期五和圣诞节）临近，攻击活动将重新升级，这是攻击者的繁忙季节。