勒索工行美國分行的LockBit是個什么組織？

賽格特約作者 劉遠舉

11月8日，中國工商銀行在美全資子公司——工銀金融服務(wù)有限責任公司（ICBCFS），受到Lockbit勒索軟件組織攻擊。雖然ICBCFS表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，但此次攻擊仍然導致部分系統(tǒng)中斷。

由于無法進入系統(tǒng)，因此ICBCFS暫時拖欠紐約梅隆銀行90億美元的未結(jié)算交易。紐約梅隆銀行是美國公債的唯一結(jié)算代理行，因此工行中國母公司向美國分行注資，使其能夠結(jié)算交易并償還紐約梅隆銀行的欠款。此外，攻擊還導致中國工商銀行的企業(yè)電郵系統(tǒng)停止運作，迫使員工改用Google郵件。

ICBCFS在聲明中表示，正在專業(yè)信息安全專家團隊的支持下推進恢復(fù)工作，隨后，基本上恢復(fù)正常。Lockbit勒索軟件組織告訴媒體，稱ICBCFS已經(jīng)按要求支付了贖金。

LockBit RaaS是如何上位的？

勒索軟件組織LockBit RaaS成立于2019年。一開始，全球勒索軟件老大是一個叫Conti的勒索軟件，俄烏戰(zhàn)爭后，團隊中的人各支持一方，發(fā)生內(nèi)訌。一名來自烏克蘭的成員，為了報復(fù)，泄漏他們內(nèi)部的聊天記錄和數(shù)據(jù)。信息暴露導致團伙不敢再繼續(xù)勒索，LockBit上位成為榜首大哥，他們的口號是：“讓勒索軟件再次偉大。”

根據(jù)MS-ISAC 的說法，2022 年，LockBit 是全世界部署最多的勒索軟件變種，并在 2023 年持續(xù)“高產(chǎn)”。

在2022年下半年和2023年初，LockBit在所有勒索軟件攻擊中占據(jù)了三分之一以上的份額。近期，美國當局及其在澳大利亞、加拿大、英國、德國、法國和新西蘭的國際合作伙伴表示，短短三年內(nèi)，它已成為全球最大的勒索軟件。

LockBit的成員曾經(jīng)公開表示：我們是有道德準則的，不會攻擊醫(yī)療保健、教育、慈善組織和社會服務(wù)行業(yè)。但實際上，他們的攻擊遍布金融服務(wù)、食品和農(nóng)業(yè)、教育、能源、政府和應(yīng)急服務(wù)、醫(yī)療保健、制造業(yè)和運輸?shù)榷鄠€行業(yè)。

從地理范圍看，LockBit的攻擊范圍包含亞洲、歐洲和非洲等世界各地，美國是最大受害者。美國和國際網(wǎng)絡(luò)安全機構(gòu)表示自2020 年以來，該團伙對美國實體組織發(fā)動了約 1700 次攻擊，成功勒索了約9100萬美元，遍及金融服務(wù)、食品業(yè)、學校、交通和政府部門等各個領(lǐng)域。這些受害者包括大陸汽車巨頭、英國皇家郵政、意大利國內(nèi)稅務(wù)局以及奧克蘭市。

LockBit的兩種“盈利模式”

LockBit賺錢的第一個模式是加密重要文件，然后勒索。

LockBit勒索軟件首先通過釣魚郵件、對賬戶進行暴力攻擊、漏洞等方式，獲取網(wǎng)絡(luò)的初始訪問權(quán)。然后，進入受害者的網(wǎng)絡(luò)感染第一個主機，并通過這臺主機將感染傳播到網(wǎng)絡(luò)中的多個設(shè)備。比如，通過打印機服務(wù)器本地賬戶權(quán)限作為據(jù)點，提升到域管理員權(quán)限，逐步定位到域控、Exchange郵件服務(wù)器、共享文件服務(wù)器等多個核心服務(wù)器。最后，對內(nèi)網(wǎng)多個終端的關(guān)鍵性文件進行加密，并在受害者的受損設(shè)備上顯示勒索通知，而只有使用LockBit的專有解密工具才能解密這些文件。

在勒索信中，受害者被告知要用加密貨幣來支付贖金。攻擊者會威脅，如果不及時支付贖金，就會刪除客戶的敏感數(shù)據(jù)。支付了贖金，文件和系統(tǒng)通常就會被解鎖，但也有可能不講信譽再次勒索。

根據(jù)LockBit在暗網(wǎng)上的資料顯示，Lockbit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件僅需要4分半鐘。Lockbit使用 AES 密鑰通過RSA-2048加密。按目前的計力，要破解RSA-1024位密鑰至少就需要兩年時間，而破解2048位密鑰起碼需要80年。所以，ICBCFS能恢復(fù)正常，向Lockbit支付了贖金的說法應(yīng)該是真實的。

LockBit賺錢的另一個模式是，偷文件，勒索不成就出售或公開這些數(shù)據(jù)。

11月10日，LockBit勒索軟件組織公布了從波音公司竊取的大約43GB被盜的近期備份數(shù)據(jù)，最新的時間戳為10月22日。這些數(shù)據(jù)包括波音在歐洲和北美的供應(yīng)商和分銷商的信息，包括名稱、位置和電話號碼，以及他們提供的服務(wù)，包括機身制造、結(jié)構(gòu)力學、計算機和電子設(shè)備等。

泄露的數(shù)據(jù)還包括波音公司 2018 年的戰(zhàn)略文件，詳細介紹了波音公司對 2027 年之前飛行員需求的預(yù)測，以及2018 年的市場研究數(shù)據(jù)。還有該公司的財務(wù)詳細信息包括銷售、回扣、不良質(zhì)量成本報告、凈成本定價以及 2020 年標價數(shù)據(jù)。其它詳細信息包括名為“危險廢物”“旋翼機”和“商業(yè)案例”的文件夾中的信息，以及波音內(nèi)部培訓材料的文件。想必是波音公司覺得這些數(shù)據(jù)并不是非常敏感，拒絕了勒索，數(shù)據(jù)就被犯罪團伙公開。

美國政府長期建議不要向勒贖軟件集團支付費用，以阻止這種犯罪模式。但對公司而言，一般要評估，如果數(shù)據(jù)敏感、不能外泄損害聲譽，或沒有備份，運營又必須這些數(shù)據(jù)，那么，就只得掏腰包解封。現(xiàn)在贖金都是通過比特幣等加密貨幣支付，難以查找。

日益增長的全球網(wǎng)絡(luò)安全市場

LockBit的確有很強的技術(shù)實力。2022年3月，微軟公司發(fā)現(xiàn)LockBit2.0存在代碼缺陷，可以在不支付贖金的情況下實現(xiàn)文件解密。僅僅3個月后，LockBit團伙就發(fā)布了3.0版本的勒索木馬（又名LockBit Black）。并且，還囂張地向全世界的研究人員提供“漏洞賞金”計劃，誰能找到這款勒索軟件的Bug和漏洞，就可以領(lǐng)取他們的獎金。

Lockbit 3.0推出首個勒索軟件漏洞賞金計劃

Lockbit等勒索軟件，給全球金融、貨運和關(guān)鍵基礎(chǔ)設(shè)施運營帶來巨大威脅和損失，這一切只是剛剛開始。

人類的信息安全，最初關(guān)注保密性。在20世紀初期，通信技術(shù)還不發(fā)達，電話、電報、傳真等信息交換過程中，人們強調(diào)的是信息的保密性。進入20世紀60年代后，計算機網(wǎng)絡(luò)進入歷史舞臺，人們對安全的關(guān)注已經(jīng)逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段。20世紀80年代開始，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，用戶對整體信息安全體系的需求不斷提高，除防病毒、防火墻、IDS等傳統(tǒng)產(chǎn)品外，對UTM、IPS、安全審計、Soc等新型專業(yè)安全服務(wù)需求不斷升級。

IDC、Gartner、中國信通院的報告分別顯示2021年全球網(wǎng)絡(luò)安全市場規(guī)模為1687.7億美元、1577.5億美元、1554.0億美元，較2020年增速分別為27.8%、17.9%、13.7%。其中，截至2023年3月31日，IDC披露了2022年全球網(wǎng)絡(luò)安全規(guī)模為1955.1億美元，同比增速達到15.8%;Gartner披露了2022年全球網(wǎng)絡(luò)安全規(guī)模為1691.6億美元，同比增速達到7.2%。根據(jù)IDC預(yù)測，未來全球網(wǎng)絡(luò)安全行業(yè)市場規(guī)模復(fù)合年均增長率為10.4%，預(yù)計到2028年，全球網(wǎng)絡(luò)安全行業(yè)市場規(guī)模可達3540億美元。

LockBit軟件的泛濫反映的是網(wǎng)絡(luò)安全對于經(jīng)濟、社會運行的重要性，換一個角度，這也可能成為一種國家之間超限競爭的領(lǐng)域。2021年5月9日，因為美國最大燃油管道運營商Colonial Pipeline遭受勒索軟件攻擊，美國政府宣布美國17個州和華盛頓特區(qū)進入緊急狀態(tài)，影響美國東海岸45%的能源供應(yīng)。

這是一個網(wǎng)絡(luò)攻擊對國家影響的典型例子。隨著信息化程度的加深，網(wǎng)絡(luò)攻擊對全球能源基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、貨幣基礎(chǔ)設(shè)施，醫(yī)療數(shù)據(jù)、個人數(shù)據(jù)產(chǎn)生的威脅愈來愈大，信息安全已成為保障國家政治、經(jīng)濟和社會穩(wěn)定的重要力量。

強化網(wǎng)絡(luò)安全力量，依賴開放式競爭

所以，如果說網(wǎng)絡(luò)、計算機是社會生產(chǎn)的基礎(chǔ)，那么，信息安全就相當于是國防軍。2017年，美國前總統(tǒng)特朗普正式將網(wǎng)絡(luò)司令部升級為美軍的第十個作戰(zhàn)司令部，隨后，德國等北約國家開始籌備自己的網(wǎng)絡(luò)戰(zhàn)部隊，儲備網(wǎng)絡(luò)武器。好消息是，在這一點上，中國也有很強的實力。

近日，日本媒體聯(lián)合美國信息服務(wù)提供商LexisNexis發(fā)布了全球網(wǎng)絡(luò)安全專利排行榜。把向多個國家申請的同一專利，視為1項專利，結(jié)果顯示，截至2023年的全球?qū)＠麚碛袛?shù)量來看，在排名前10的企業(yè)中，有6家是中國企業(yè)。擁有專利數(shù)量首位的是美國IBM的6363件。排在第2位的是華為的5735件，第3位是騰訊控股的4803件。

從專利領(lǐng)域看，華為側(cè)重于無線通信技術(shù)領(lǐng)域，騰訊擁有許多電子郵件和身份驗證等認證技術(shù)的專利，而螞蟻集團則側(cè)重于數(shù)據(jù)庫領(lǐng)域。排名前十的其他中國公司，還包括螞蟻集團、國家電網(wǎng)、阿里巴巴，中國投資。

一國企業(yè)網(wǎng)絡(luò)安全方面的專利，一定程度上可以反映一國對網(wǎng)絡(luò)安全技術(shù)的掌握。可見，中國在全球網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的影響力正在不斷增強。不過，與傳統(tǒng)國防行業(yè)不同的是，網(wǎng)絡(luò)防衛(wèi)力量與市場息息相關(guān)，不存在軍工與民用的清晰分別。這就意味著網(wǎng)絡(luò)安全，更需要一個競爭的、開放的市場。

技術(shù)是在不斷發(fā)展的，網(wǎng)絡(luò)安全沒有一勞永逸，永遠是道高一尺魔高一丈，網(wǎng)絡(luò)安全威脅將長期存在，攻擊手段會越來越復(fù)雜和隱蔽。企業(yè)，特別是金融機構(gòu)對于此類全球性勒索軟件團伙要高度重視，提前做好防御準備工作，確保客戶數(shù)據(jù)和資金的安全。