勒索工行美國(guó)分行的LockBit是個(gè)什么組織？

賽格特約作者 劉遠(yuǎn)舉

11月8日，中國(guó)工商銀行在美全資子公司——工銀金融服務(wù)有限責(zé)任公司（ICBCFS），受到Lockbit勒索軟件組織攻擊。雖然ICBCFS表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，但此次攻擊仍然導(dǎo)致部分系統(tǒng)中斷。

由于無(wú)法進(jìn)入系統(tǒng)，因此ICBCFS暫時(shí)拖欠紐約梅隆銀行90億美元的未結(jié)算交易。紐約梅隆銀行是美國(guó)公債的唯一結(jié)算代理行，因此工行中國(guó)母公司向美國(guó)分行注資，使其能夠結(jié)算交易并償還紐約梅隆銀行的欠款。此外，攻擊還導(dǎo)致中國(guó)工商銀行的企業(yè)電郵系統(tǒng)停止運(yùn)作，迫使員工改用Google郵件。

ICBCFS在聲明中表示，正在專業(yè)信息安全專家團(tuán)隊(duì)的支持下推進(jìn)恢復(fù)工作，隨后，基本上恢復(fù)正常。Lockbit勒索軟件組織告訴媒體，稱ICBCFS已經(jīng)按要求支付了贖金。

LockBit RaaS是如何上位的？

勒索軟件組織LockBit RaaS成立于2019年。一開(kāi)始，全球勒索軟件老大是一個(gè)叫Conti的勒索軟件，俄烏戰(zhàn)爭(zhēng)后，團(tuán)隊(duì)中的人各支持一方，發(fā)生內(nèi)訌。一名來(lái)自烏克蘭的成員，為了報(bào)復(fù)，泄漏他們內(nèi)部的聊天記錄和數(shù)據(jù)。信息暴露導(dǎo)致團(tuán)伙不敢再繼續(xù)勒索，LockBit上位成為榜首大哥，他們的口號(hào)是：“讓勒索軟件再次偉大。”

根據(jù)MS-ISAC 的說(shuō)法，2022 年，LockBit 是全世界部署最多的勒索軟件變種，并在 2023 年持續(xù)“高產(chǎn)”。

在2022年下半年和2023年初，LockBit在所有勒索軟件攻擊中占據(jù)了三分之一以上的份額。近期，美國(guó)當(dāng)局及其在澳大利亞、加拿大、英國(guó)、德國(guó)、法國(guó)和新西蘭的國(guó)際合作伙伴表示，短短三年內(nèi)，它已成為全球最大的勒索軟件。

LockBit的成員曾經(jīng)公開(kāi)表示：我們是有道德準(zhǔn)則的，不會(huì)攻擊醫(yī)療保健、教育、慈善組織和社會(huì)服務(wù)行業(yè)。但實(shí)際上，他們的攻擊遍布金融服務(wù)、食品和農(nóng)業(yè)、教育、能源、政府和應(yīng)急服務(wù)、醫(yī)療保健、制造業(yè)和運(yùn)輸?shù)榷鄠€(gè)行業(yè)。

從地理范圍看，LockBit的攻擊范圍包含亞洲、歐洲和非洲等世界各地，美國(guó)是最大受害者。美國(guó)和國(guó)際網(wǎng)絡(luò)安全機(jī)構(gòu)表示自2020 年以來(lái)，該團(tuán)伙對(duì)美國(guó)實(shí)體組織發(fā)動(dòng)了約 1700 次攻擊，成功勒索了約9100萬(wàn)美元，遍及金融服務(wù)、食品業(yè)、學(xué)校、交通和政府部門等各個(gè)領(lǐng)域。這些受害者包括大陸汽車巨頭、英國(guó)皇家郵政、意大利國(guó)內(nèi)稅務(wù)局以及奧克蘭市。

LockBit的兩種“盈利模式”

LockBit賺錢的第一個(gè)模式是加密重要文件，然后勒索。

LockBit勒索軟件首先通過(guò)釣魚郵件、對(duì)賬戶進(jìn)行暴力攻擊、漏洞等方式，獲取網(wǎng)絡(luò)的初始訪問(wèn)權(quán)。然后，進(jìn)入受害者的網(wǎng)絡(luò)感染第一個(gè)主機(jī)，并通過(guò)這臺(tái)主機(jī)將感染傳播到網(wǎng)絡(luò)中的多個(gè)設(shè)備。比如，通過(guò)打印機(jī)服務(wù)器本地賬戶權(quán)限作為據(jù)點(diǎn)，提升到域管理員權(quán)限，逐步定位到域控、Exchange郵件服務(wù)器、共享文件服務(wù)器等多個(gè)核心服務(wù)器。最后，對(duì)內(nèi)網(wǎng)多個(gè)終端的關(guān)鍵性文件進(jìn)行加密，并在受害者的受損設(shè)備上顯示勒索通知，而只有使用LockBit的專有解密工具才能解密這些文件。

在勒索信中，受害者被告知要用加密貨幣來(lái)支付贖金。攻擊者會(huì)威脅，如果不及時(shí)支付贖金，就會(huì)刪除客戶的敏感數(shù)據(jù)。支付了贖金，文件和系統(tǒng)通常就會(huì)被解鎖，但也有可能不講信譽(yù)再次勒索。

根據(jù)LockBit在暗網(wǎng)上的資料顯示，Lockbit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件僅需要4分半鐘。Lockbit使用 AES 密鑰通過(guò)RSA-2048加密。按目前的計(jì)力，要破解RSA-1024位密鑰至少就需要兩年時(shí)間，而破解2048位密鑰起碼需要80年。所以，ICBCFS能恢復(fù)正常，向Lockbit支付了贖金的說(shuō)法應(yīng)該是真實(shí)的。

LockBit賺錢的另一個(gè)模式是，偷文件，勒索不成就出售或公開(kāi)這些數(shù)據(jù)。

11月10日，LockBit勒索軟件組織公布了從波音公司竊取的大約43GB被盜的近期備份數(shù)據(jù)，最新的時(shí)間戳為10月22日。這些數(shù)據(jù)包括波音在歐洲和北美的供應(yīng)商和分銷商的信息，包括名稱、位置和電話號(hào)碼，以及他們提供的服務(wù)，包括機(jī)身制造、結(jié)構(gòu)力學(xué)、計(jì)算機(jī)和電子設(shè)備等。

泄露的數(shù)據(jù)還包括波音公司 2018 年的戰(zhàn)略文件，詳細(xì)介紹了波音公司對(duì) 2027 年之前飛行員需求的預(yù)測(cè)，以及2018 年的市場(chǎng)研究數(shù)據(jù)。還有該公司的財(cái)務(wù)詳細(xì)信息包括銷售、回扣、不良質(zhì)量成本報(bào)告、凈成本定價(jià)以及 2020 年標(biāo)價(jià)數(shù)據(jù)。其它詳細(xì)信息包括名為“危險(xiǎn)廢物”“旋翼機(jī)”和“商業(yè)案例”的文件夾中的信息，以及波音內(nèi)部培訓(xùn)材料的文件。想必是波音公司覺(jué)得這些數(shù)據(jù)并不是非常敏感，拒絕了勒索，數(shù)據(jù)就被犯罪團(tuán)伙公開(kāi)。

美國(guó)政府長(zhǎng)期建議不要向勒贖軟件集團(tuán)支付費(fèi)用，以阻止這種犯罪模式。但對(duì)公司而言，一般要評(píng)估，如果數(shù)據(jù)敏感、不能外泄損害聲譽(yù)，或沒(méi)有備份，運(yùn)營(yíng)又必須這些數(shù)據(jù)，那么，就只得掏腰包解封。現(xiàn)在贖金都是通過(guò)比特幣等加密貨幣支付，難以查找。

日益增長(zhǎng)的全球網(wǎng)絡(luò)安全市場(chǎng)

LockBit的確有很強(qiáng)的技術(shù)實(shí)力。2022年3月，微軟公司發(fā)現(xiàn)LockBit2.0存在代碼缺陷，可以在不支付贖金的情況下實(shí)現(xiàn)文件解密。僅僅3個(gè)月后，LockBit團(tuán)伙就發(fā)布了3.0版本的勒索木馬（又名LockBit Black）。并且，還囂張地向全世界的研究人員提供“漏洞賞金”計(jì)劃，誰(shuí)能找到這款勒索軟件的Bug和漏洞，就可以領(lǐng)取他們的獎(jiǎng)金。

Lockbit 3.0推出首個(gè)勒索軟件漏洞賞金計(jì)劃

Lockbit等勒索軟件，給全球金融、貨運(yùn)和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)帶來(lái)巨大威脅和損失，這一切只是剛剛開(kāi)始。

人類的信息安全，最初關(guān)注保密性。在20世紀(jì)初期，通信技術(shù)還不發(fā)達(dá)，電話、電報(bào)、傳真等信息交換過(guò)程中，人們強(qiáng)調(diào)的是信息的保密性。進(jìn)入20世紀(jì)60年代后，計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)入歷史舞臺(tái)，人們對(duì)安全的關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性為目標(biāo)的信息安全階段。20世紀(jì)80年代開(kāi)始，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，用戶對(duì)整體信息安全體系的需求不斷提高，除防病毒、防火墻、IDS等傳統(tǒng)產(chǎn)品外，對(duì)UTM、IPS、安全審計(jì)、Soc等新型專業(yè)安全服務(wù)需求不斷升級(jí)。

IDC、Gartner、中國(guó)信通院的報(bào)告分別顯示2021年全球網(wǎng)絡(luò)安全市場(chǎng)規(guī)模為1687.7億美元、1577.5億美元、1554.0億美元，較2020年增速分別為27.8%、17.9%、13.7%。其中，截至2023年3月31日，IDC披露了2022年全球網(wǎng)絡(luò)安全規(guī)模為1955.1億美元，同比增速達(dá)到15.8%;Gartner披露了2022年全球網(wǎng)絡(luò)安全規(guī)模為1691.6億美元，同比增速達(dá)到7.2%。根據(jù)IDC預(yù)測(cè)，未來(lái)全球網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模復(fù)合年均增長(zhǎng)率為10.4%，預(yù)計(jì)到2028年，全球網(wǎng)絡(luò)安全行業(yè)市場(chǎng)規(guī)模可達(dá)3540億美元。

LockBit軟件的泛濫反映的是網(wǎng)絡(luò)安全對(duì)于經(jīng)濟(jì)、社會(huì)運(yùn)行的重要性，換一個(gè)角度，這也可能成為一種國(guó)家之間超限競(jìng)爭(zhēng)的領(lǐng)域。2021年5月9日，因?yàn)槊绹?guó)最大燃油管道運(yùn)營(yíng)商Colonial Pipeline遭受勒索軟件攻擊，美國(guó)政府宣布美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，影響美國(guó)東海岸45%的能源供應(yīng)。

這是一個(gè)網(wǎng)絡(luò)攻擊對(duì)國(guó)家影響的典型例子。隨著信息化程度的加深，網(wǎng)絡(luò)攻擊對(duì)全球能源基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、貨幣基礎(chǔ)設(shè)施，醫(yī)療數(shù)據(jù)、個(gè)人數(shù)據(jù)產(chǎn)生的威脅愈來(lái)愈大，信息安全已成為保障國(guó)家政治、經(jīng)濟(jì)和社會(huì)穩(wěn)定的重要力量。

強(qiáng)化網(wǎng)絡(luò)安全力量，依賴開(kāi)放式競(jìng)爭(zhēng)

所以，如果說(shuō)網(wǎng)絡(luò)、計(jì)算機(jī)是社會(huì)生產(chǎn)的基礎(chǔ)，那么，信息安全就相當(dāng)于是國(guó)防軍。2017年，美國(guó)前總統(tǒng)特朗普正式將網(wǎng)絡(luò)司令部升級(jí)為美軍的第十個(gè)作戰(zhàn)司令部，隨后，德國(guó)等北約國(guó)家開(kāi)始籌備自己的網(wǎng)絡(luò)戰(zhàn)部隊(duì)，儲(chǔ)備網(wǎng)絡(luò)武器。好消息是，在這一點(diǎn)上，中國(guó)也有很強(qiáng)的實(shí)力。

近日，日本媒體聯(lián)合美國(guó)信息服務(wù)提供商LexisNexis發(fā)布了全球網(wǎng)絡(luò)安全專利排行榜。把向多個(gè)國(guó)家申請(qǐng)的同一專利，視為1項(xiàng)專利，結(jié)果顯示，截至2023年的全球?qū)＠麚碛袛?shù)量來(lái)看，在排名前10的企業(yè)中，有6家是中國(guó)企業(yè)。擁有專利數(shù)量首位的是美國(guó)IBM的6363件。排在第2位的是華為的5735件，第3位是騰訊控股的4803件。

從專利領(lǐng)域看，華為側(cè)重于無(wú)線通信技術(shù)領(lǐng)域，騰訊擁有許多電子郵件和身份驗(yàn)證等認(rèn)證技術(shù)的專利，而螞蟻集團(tuán)則側(cè)重于數(shù)據(jù)庫(kù)領(lǐng)域。排名前十的其他中國(guó)公司，還包括螞蟻集團(tuán)、國(guó)家電網(wǎng)、阿里巴巴，中國(guó)投資。

一國(guó)企業(yè)網(wǎng)絡(luò)安全方面的專利，一定程度上可以反映一國(guó)對(duì)網(wǎng)絡(luò)安全技術(shù)的掌握。可見(jiàn)，中國(guó)在全球網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的影響力正在不斷增強(qiáng)。不過(guò)，與傳統(tǒng)國(guó)防行業(yè)不同的是，網(wǎng)絡(luò)防衛(wèi)力量與市場(chǎng)息息相關(guān)，不存在軍工與民用的清晰分別。這就意味著網(wǎng)絡(luò)安全，更需要一個(gè)競(jìng)爭(zhēng)的、開(kāi)放的市場(chǎng)。

技術(shù)是在不斷發(fā)展的，網(wǎng)絡(luò)安全沒(méi)有一勞永逸，永遠(yuǎn)是道高一尺魔高一丈，網(wǎng)絡(luò)安全威脅將長(zhǎng)期存在，攻擊手段會(huì)越來(lái)越復(fù)雜和隱蔽。企業(yè)，特別是金融機(jī)構(gòu)對(duì)于此類全球性勒索軟件團(tuán)伙要高度重視，提前做好防御準(zhǔn)備工作，確保客戶數(shù)據(jù)和資金的安全。