美国联邦调查局(FBI)发布了关于LockBit 2.0的最新警告。建议公司启用多因素认证(MFA),并为所有管理员和高价值帐户使用强大的、唯一的密码,以防范当今互联网上最繁忙的攻击组织之一使用的勒索软件。
MFA对于保护用户和管理员密码安全至关重要,但微软发现,使用Azure Active Directory的组织中有78%没有启用MFA。
LockBit 2.0通过VMWare的ESXi虚拟机中的漏洞攻击Windows个人电脑,现在Linux服务器也受到了攻击,并打击了技术咨询和服务巨头埃森哲(Accenture)和法国司法部等。
SEE:网络安全:让我们获得战术(ZDNet特别报道)
LockBit的运营商使用任何可行的方法来破坏网络,只要它能工作。FBI的报告称,这些行为包括(但不限于)从“访问经纪人”那里购买访问一个已经被攻破的网络的权限,利用未打补丁的软件漏洞,甚至为内部访问付费,以及利用此前未知的零日漏洞。
该组织的技术还在不断发展。FBI表示,LockBit的运营商已经开始在目标公司发布广告,招募内部人员帮助他们初步进入网络。内部人士被承诺会从成功的袭击中获得一笔收益。一个月前,它开始滥用Active Directory中的组策略,在Windows域内自动加密设备。
在破坏网络后,LockBit使用像Mimikatz这样的渗透测试工具来升级特权,并使用多种工具在加密文件之前泄漏数据(如果受害者不付钱,就用泄漏威胁受害者)。LockBit总是留下一张赎金便条,说明如何获得解密密钥。
像其他俄罗斯的勒索软件一样,LockBit 2.0决定系统和用户语言设置,如果一个组织使用的语言是13种东欧语言之一,那么该组织就不会受到攻击。FBI列出了截至2022年2月的LockBit 2.0语言代码,比如2092是阿塞拜疆语/西里尔语,1067是亚美尼亚语,这些代码导致LockBit无法激活。
FBI指出:“如果检测到一种东欧语言,程序就会退出,而不会受到感染。”
Lockbit 2.0识别和收集受感染设备的主机名、主机配置、域信息、本地驱动器配置、远程共享和挂载的外部存储设备。
FBI表示,该公司随后会尝试对保存在本地或远程设备上的数据进行加密,但会跳过与系统核心功能相关的文件。在此之后,它将从磁盘中删除自己,并在启动时创建持久化。
除了要求网络邮箱、vpn和关键系统的账户设置强大、独特的密码和MFA外,FBI还建议了一系列缓解措施,包括保持操作系统和软件的更新,以及删除对管理共享的不必要访问。它还建议使用基于主机的防火墙,并在Windows中启用“受保护文件”,即微软的受控文件夹访问。
它还建议公司分割他们的网络,调查任何异常活动,实现基于时间的访问帐户设置在管理员级别和更高,禁用命令行和脚本活动和权限,当然,维护数据的离线备份。
