Conti消失，LockBit兴起！企业仍要重视勒索病毒攻击

根据两家威胁情报公司的最新报告，过去三个月观察到的勒索软件攻击数量与上一季度相比有所下降。主要原因是因为Conti团队的解散。但是，这份空白正在被其他攻击团队填补，LockBit首当其冲，并可能成为勒索软件衍生产品的未来来源。

从7月到9月，安全公司Intel 471统计了27个勒索软件变体中的455起攻击，其中192起（42%）由LockBit 3.0负责。与此同时，安全公司Digital Shadows和ReliaQuest公司，在同一时间段内追踪了大约600名勒索软件受害者，其中LockBit占35%。

Conti团队是什么？LockBit又擅长怎样的勒索手段？企业应该如何面对勒索攻击？

Conti是一个勒索软件公司，擅长“双重勒索”，即向受害公司收取双份赎金：一个是为了换取解锁受感染系统所需的数字密钥，另一个是为了确保任何被盗数据都将被销毁，不会被出版或出售。

在勒索过程中，Conti会给受害公司一个暗网链接，页面中有一个倒数计时器。受害公司在计时器归零前如果没能协商付款，就会看到他们的内部数据自动发布在Conti的博客上。双重勒索的绝妙之处在于，即使受害者拒绝付费获得密钥，他们也仍然可能会为了数据不外泄而付费。

与此同时，Conti在开源情报工具（OSINT）上投入了大量预算。例如，它订阅了许多服务，这些服务可以帮助其确定某特定IP地址的使用者身份，或者确认某IP地址是否与已知的虚拟专用网络 (VPN) 服务相关联。Conti 平均每天可以访问数万台被黑的终端，这些OSINT服务则起到筛选作用，让Conti能聚焦于大型企业网络中的受感染系统。这个勒索软件集团之所以能够成功，是因为相比于其他勒索软件公司，Conti更聚焦于年收入1亿美元以上的公司，并且像企业一样，注重管理与运营。

自2019年推出以来，Conti在2022年初成长为数量最多的勒索软件团伙。然而，由于其运营者的一系列失误，例如公开支持俄罗斯入侵乌克兰、对哥斯达黎加政府发动重大袭击、促使美国国务院悬赏1000万美元获取其领导人的信息以及内部通信和运营细节出现重大泄露，致使该团伙于今年5月解散。目前，Conti是彻底消失还是只是以不同的名字重新命名，仍有争议。

在5月份Conti关闭运营后，其附属公司（即为获得赎金支付的一部分而进行入侵和勒索软件分发的个人或团体）开始加入勒索软件即服务（RaaS）市场的其他参与者。其中，最大的受益者是LockBit。

LockBit RaaS运营的时间几乎与Conti一样长，但在运营的头两年里，被其他组织如Maze和Ryuk所掩盖。随着时间的推移，其创建者对代码进行了重大改进，最终于6月发布了勒索软件和联盟程序的3.0版本。

虽然在第三季度，LockBit 3.0一直是勒索软件的主要毒株，但这种情况是否会继续下去还有待观察，因为在9月份，有人泄露了有关LockBi联盟计划、勒索软件构建者的内部细节，以及关于其假定领导者的信息。这很可能会损害该计划在网络犯罪圈的声誉，泄密事件确实引发了地下论坛上关于该团伙运营安全的讨论。

Intel471的研究人员在报告中表示，一事件有可能进一步减少2022年第四季度LockBit漏洞的数量。该团队可能需要集中精力修改勒索软件的代码和团队的战术、技术和程序（TTP），以及实施更多的操作安全（OPSEC）措施。其参与者可能会使用LockBit源代码作为构建其他勒索软件程序的基础。

Digital Shadows的研究人员在他们的报告中一致认为，无论泄漏源是谁，这起事件至少可能导致其他组织将LockBit 3.0构建器武器化。

LockBit团队会通过获得长期持久性，提升至域管理员权限，执行命令并控制多台主机，实现海量数据泄露，并最终破坏数据。

对遭受LockBit攻击的PSExec活动主机的初步调查中发现了一些关键发现：

LockBit通过合法的远程管理工具“TightVNC”在受感染设备上进行实时远程会话。

创建多个本地管理员帐户以实现额外的持久性，用户名包括DomainAdmin、Support1、Support2、WDAGUtilityAccount和clienttest。

进一步调查显示，本地管理帐户是在加密事件发生前至少45天创建的，证明攻击者在被攻击方环境中存在了相当长的一段时间。

另外，还发现了第二种持久性的攻击存在形式——在受感染主机上运行基于PowerShell的反向TCP shell。该shell片段试图解析去混淆后的域名“block.securerequest[.]tw”，这是2021年10月新注册的域名。存在问题的shell是来自一个名为“KaliBoys”的已知攻击性安全组织的公开脚本修改后的版本。

该脚本使用“KaliBoys”作为“IEX”的别名来混淆命令调用，以规避某些静态检测机制，同时还将域名混淆进十六进制的数据中，如图3所示的’SA=”62 6C ...”’中就包含了有问题的恶意域名。

根据Intel 471的调查显示，第三季度的前两大勒索软件毒株来自于Black Basta RaaS和Hive。有传言称，Black Basta RaaS和Hive都与Conti有关，虽然这一点尚未得到证实，但黑巴斯塔的案件证据更为有力。Intel471的研究人员表示，Black Basta RaaS是由Conti勒索软件的附属公司推出的，在Conti解散后，这家复述公司可能继续使用Conti的TTP操作Black Basta的勒索软件。

Black Basta的子公司通常会选择高利润的企业，根据Intel 471的数据显示，该组织的受害者在第三季度分布在8个国家，而第二季度则分布在11个国家。这表明，该组织正在将其工作重点重新放在更发达的市场，特别是美国，Black Basta第三季度受害者中有三分之二在美国。

与此同时，Digital Shadows的研究人员观察到12个新的勒索软件数据泄露网站正在启动，其中包括新的团体，这使得该公司追踪的此类网站数量增加到97个，其中44个是活跃的。然而，并非所有勒索软件集团都会维护数据泄露网站或进行这种形式的双重勒索，这种勒索包括窃取敏感数据，并威胁在使用勒索软件程序加密数据的基础上发布或出售这些数据。另一方面，卡拉库尔特（Karakurt）等组织也被认为与Conti有关，因为其专门从事数据泄露勒索，并且不使用勒索软件。

数字阴影研究人员表示，在上个季度末，能够看到由前Conti成员领导的新团体正在慢慢兴起。虽然不清楚这些新攻击团伙是否与Conti有直接关联，它们或许是因机会主义产生，以以填补Conti留下的市场空白。

根据Digital Shadows的数据，第三季度勒索软件的主要目标是美国、法国、西班牙、英国、德国和意大利。根据Intel471的数据显示，排名前四的是美国、法国、英国和意大利。

勒索攻击往往发生于企业员工，安全意识普遍较差的企业更加容易遭受到勒索攻击。因此，企业要想应对勒索病毒攻击，最主要的是有备无患，防止攻击者在企业网络上建立立足点。对此企业可以采取以下措施。第一电子邮件安全，钓鱼邮件是目前勒索软件传播的主要方式，有条件的单位和用户应该部署电子邮件防护产品，对所有的电子邮件附件进行病毒扫描。

第二，安全意识培训，对员工和广大计算机用户进行持续的安全教育培训是十分必要的，应当让用户了解勒索软件的传播方式，如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。

第三，采用安全工具：提供垃圾邮件过滤、链接过滤、域名系统封锁/过滤、病毒检测和入侵检测及防御。

第四，采用零信任框架：识别、验证和监视每一个连接、登录和资源使用。

第五，完善数据备份和恢复，可靠的数据备份可以将勒索软件带来的损失最小化，但同时也要对这些数据备份进行安全防护，避免被感染和损坏。

第六，采用多层防护的网络安全策略，很多勒索软件与高级网络攻击相结合，单一的防护手段无法抵御，应该采取多种防护手段相结合方式搭建多层的网络安全防护体系，如：高级威胁防护、网关防病毒、入侵防御以及其他基于网络的安全防护手段。

第七，采用网络隔离，目前勒索软件已经可以通过局域网传播，为了防止勒索软件的扩散，应该采取有效的网络隔离措施，将关键的业务服务程序、数据和设备隔离到独立的网络中，防止来自网络的感染。

中国科学院计算机网络信息中心研究员肖彪表示，伴随计算机出现的计算机病毒已经存在很多年，勒索软件是一个计算机病毒，能够利用漏洞、邮件或者U盘撕开第一道互联网的防护体系。根本来说勒索软件还是一个蠕虫，不仅能够对计算机系统进行破坏、窃取，还能够进行自动的传播，自动的复制。最出名的一个勒索软件是WannaCry，它之所以在全球大面积爆发，核心原因就是利用了2016年CIA泄露的永恒之蓝病毒，把永恒之蓝的漏洞跟蠕虫勒索相结合。

某信息安全专家表示，可以尝试从勒索病毒的根本目的出发，勒索病毒之所以能够最终达成索要钱财的目的，从根本上说是实实在在的控制住了企业单的核心数据资产。不论是造成业务的停顿还是数据的泄露，都是勒索攻击的关键所在。因此，如果能在勒索攻击得手后，依然保有干净可用的核心数据资产，并能够使业务顺利开展，那么勒索攻击就会土崩瓦解。所以，当勒索攻击发生时，首要必须恢复数据，保障业务顺利开展。

某科技公司安全负责人表示，SSL证书同样可以抵御网络攻击威胁。在未安装SSL证书时，用户和服务器之间的信息传输是明文的，容易被外界截取，而且对最终用户来讲，他们在浏览服务器时，并不知道这个服务器、网页是否真的存在，如果存在，信息是否真实可信。在今天高速发展网络世界，人们对于网络的依赖越来越强。在今天高度脆弱的网络市场，网络安全尤其重要。所以，SSL证书虽然看上去并不起眼，但用处却不容小觑。对企业来说，可以验明网站真实性，减免流量损失，赢得用户信赖，同时，通过加密方式传输数据，有效保证了信息安全，尤其是用户隐私、金融支付等敏感数据。此外，对网站优化、提升搜索权重也有好处。

某A+H上市公司信息安全负责人孙琦表示，作为安全一号位，在遇到勒索病毒之后，得率先做出判断，这次的系统能否恢复、恢复需要多长时间、可以恢复到怎样的状态，这是优先得考虑的内容。然后实在处理不了了，就只能交赎金，尽量把问题先处理在可控范围之内。对于应急预案是否有效，孙琦认为，如果企业的应急预案能真正拆分到不同的细分领域，比如能切到network、DBA、security，能切到核心的业务系统，那一旦遇到勒索攻击，从互联网切断开始，对团队的帮助是巨大的。只是在面临实际情况时，许多企业的操作流程往往会停留在书面上，而无法落实到行为。

勒索攻击随着技术的发展愈发复杂，但对于企业来说，一旦遭受勒索病毒攻击就会面临难以估量的损失。因此，无论是提升安全意识，还是采购安全产品，对于勒索攻击的威胁始终不容忽视。或许，只有等到数据备份和还原的技术更加强大，勒索攻击才会完全消失。