揭秘入侵某银行的幕后黑手(一)
2023-11-17 17:43:21 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

LockBit勒索软件团伙是一个非常复杂的[网络]犯罪团伙,最近几年,执法部门、监管机构、网络安全厂商、媒体等发表过不少关于LockBit的研究报告或报道。在阅读了这些报告、报道后,笔者感觉非常吃力,很难用一篇报告讲清楚LockBit的方方面面。因此,笔者决定,挑选一些其中比较优秀的报告(个人理解)与大家一起分享。本文是荷兰《人民报》(De Volkskrant)(原文为荷兰)对LockBit的一篇采访。

本文概述了勒索软件组织 LockBit 及其头目 LockBitSupp 的活动细节。LockBit 自 7 月升级到 2.0 版本后,采用了更高效的加密方式和双重勒索策略,迅速扩大了影响力,目前负责全球三分之一以上的勒索软件感染。该组织通过暗网销售其服务,成员必须通过技术测试或有良好的服务记录才能加入。

LockBitSupp 声称自己是 LockBit 的创始人之一,组织的领导者和组织者。他描述了自己的日常生活,包括锻炼、工作、休闲活动等。他提到,他们不特别选择受害者,而是攻击任何可能的目标。

LockBit 的成功归因于受害者的弱点、荣誉和勇气。他们还遵循一种荣誉守则,不攻击前苏联国家的企业。LockBitSupp 否认与任何安全部门合作,并描述了他如何通过各种措施保持匿名和逃避执法机构的追踪。

他还透露自己生活在中国,暗示是香港,并解释了为什么选择这个地点。尽管大多数大型犯罪黑客隐藏在俄罗斯,但 LockBitSupp 表示他的合作伙伴遍布全世界,甚至在美国。

LockBitSupp,详细描述了他如何维护自己的网络安全和匿名性。他通过监控自己的互联网流量和使用硬件防火墙来防止被黑入(似乎是哪部电影里面的场景......)。他警惕地处理收到的含有链接的个人消息,这些消息可能是执法部门用来暴露他的 IP 地址的陷阱。他称这些尝试诱导他点击链接的人为“傻瓜”。

全文如下:

“你想要什么?”8月份,臭名昭著的勒索软件组织 LockBit 的头目之一首次对荷兰《人民报》(De Volkskrant)记者发出不太友好的回复。 

自7月份升级到 LockBit 2.0 以来,这支臭名昭著的勒索软件集团迅速壮大。更好更快的加密方式,双重勒索,带有推送通知的聊天室。竞争对手 REvil 下线也为该组织带来了优势:LockBit 目前负责全球三分之一以上的勒索软件感染。他们从中赚取了数千万欧元。

LockBit 在荷兰的感染也有所增加,尽管很难给出确切的数据。企业通常不愿透露这方面的信息。9月份,通过与 LockBit 讨价还价赎金的一家荷兰受害者,《人民报》记者获得了一个该制作者的聊天 ID。通过这个 ID 和一些特殊软件,可以与他取得联系。但是这个人是否会回复,尚不确定。

这个账号名叫 LockBitSupp,隐藏在其后的是一名专业黑客和罪犯。该人曾在10月与一名为网络新闻网站 The Cyber Post 工作的前俄罗斯黑客进行过交流。

LockBitSupp 是这个组织的头目。勒索软件攻击响应公司 Northwave 的 Pim Takkenberg 说:“LockBit 是最大和最成功的犯罪组织之一。LockBitSupp对这个组织的运作方式有非常专业的技术知识。我毫不怀疑他在组织中担任高级职位并且是一名严重的罪犯。”

当执法部门 10月底在乌克兰逮捕另一个勒索软件组织 REvil 的几名成员时,LockBitSupp 表现出狂喜。“好。做得好。去工作吧,兄弟们。消灭我所有的竞争对手!” 在他眼中被捕的成员都是“新手”。他自己的工作方式更专业,他说。

你的职位是什么?

“有组织犯罪集团的领导者和组织者。” 

你的一天是怎样的?

“上午:负重跑10公里。吃早餐。去健身房。工作。攻击企业、招募人手、洗钱。午餐。继续工作。

“如果没有太多工作要做,娱乐。在 OnlyFans 和 Instagram 上的模特们上花钱,乘坐直升机,开法拉利在城里或赛道上飙车,在我的游艇上散步。”

你如何选择同伙,也就是成员,与之合作?

“通过建设性对话和测试。”

你们收取多少佣金?

“不多,20%左右的平均比例。” 

从植入软件(感染)到启动勒索之间有多长时间?

“从1小时到2个月不等。”

他声称自己是 2019年9月诞生的 LockBit 的“创始人”之一。两个月后开始了第一次感染。现在已经有了数以千计的感染,遍及无数国家。起初,该组织仅选择特定目标,现在它们到处乱射。LockBit 的与众不同之处在于,一旦黑客进入一个企业,它可以自动加密网络。“对有编程知识的人来说非常简单。”

LockBit 通过暗网(需要匿名浏览器 Tor 才能访问的互联网区域)上的论坛以服务的形式出售给附属者。并非每个团体都可以使用 LockBit。新成员必须通过技术测试证明自己,或者有良好的服务记录。

附属者在其眼中似乎不太受重视。当 11月 Europol 和 FBI 逮捕几名 REvil 成员时,LockBitSupp 说他们是“愚蠢的青少年”。“执法机构能做的最大事情就是逮捕一个附属者。很少有人在意自己的匿名性。他们思维狭隘。他们只知道如何进入一个企业。我是所有领域的专家。”

你们如何选择受害者?

“我们不选择。我们攻击任何我们能攻击的人。”

你们为什么如此成功?

“(受害者的)弱点、荣誉和勇气。我们用不同的方式进行攻击。远程桌面协议(可以远程访问计算机的一种常见漏洞)对我们并不太重要。”

由于巨大的社会影响,勒索软件已经成为地缘政治紧张的话题。西方国家认为俄罗斯没有充分打击匿藏并在该国获利的犯罪制作者。有时俄罗斯安全部门也与某些犯罪分子合作。作为交换,俄罗斯容忍黑客的存在。LockBit 在感染后会检查受害者的 IP 地址,从中可以看出计算机的地理位置。如果地点在前苏联国家,该企业就不会被勒索。

是真的你们会检查受害者的位置吗?

“是的,这是一种荣誉守则。你不能攻击自己的国家。我诞生于苏联。”

你是否与安全部门合作?

“不,我们不为他们工作。安全部门不搞勒索。”

你如何避开执法部门的手?

“遵守匿名规则:我使用卫星互联网,用假身份注册,并修改了原始软件,这使我能够相对于 GPS 卫星改变真实位置。在我的游艇上有卫星互联网非常方便。”

他监控自己的互联网流量,并使用硬件防火墙。“所以如果我看到任何异常活动,我就知道被入侵了。” 他收到大量包含链接的个人消息,希望他从个人笔记本电脑上点击,以便暴露自己的 IP 地址给执法部门。他称这些试图引诱自己点击链接的人为“傻瓜”。他不愿透露太多个人情况和赚了多少钱(“金钱需要保密”),但是透露自己生活在中国。他暗示是香港。这看似令人惊讶:大多数大型犯罪黑客都隐藏在俄罗斯。

中国?其他 LockBit 黑客在俄罗斯。

“我的合作伙伴遍布全世界,甚至在美国。中国非常好。他们不引渡到美国。在香港,每7个人中就有1个百万富翁。如果我是一个百万富翁,我最好呆在哪里?最容易的方法是融入到一个百万富翁的人群中。”

参考资料:

https://www.volkskrant.nl/nieuws-achtergrond/hij-verdient-miljoenen-met-gijzelsoftware-we-vallen-iedereen-aan-die-we-kunnen-pakken~ba32b8a8/

本文配图有GPT4生成。



ATT&CK


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485131&idx=1&sn=77185f48106281455a02f72fbd903db0&chksm=fb04c5a3cc734cb5e277215288a79ba687307c2d1146d482953640cdde3ffa1901ec69d0d7b8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh