XiaoMi-AI文件搜索系统
World File Search SystemLockBit
#停止勒索软件:LockBit 3.0
LockBit 3.0 在编译时配置了许多不同的选项,这些选项决定了勒索软件的行为。在受害者环境中实际执行勒索软件时,可以提供各种参数来进一步修改勒索软件的行为。例如,LockBit 3.0 接受其他参数,用于横向移动和重新启动到安全模式中的特定操作(请参阅“妥协指标”下的 LockBit 命令行参数)。如果 LockBit 关联公司无法访问无密码的 LockBit 3.0 勒索软件,则在执行勒索软件期间必须输入密码参数。如果 LockBit 3.0 关联公司无法输入正确的密码,则无法执行勒索软件 [T1480.001]。密码是解码 LockBit 3.0 可执行文件的加密密钥。通过以这种方式保护代码,LockBit 3.0 阻碍了恶意软件的检测和分析,因为代码在加密形式下是不可执行和不可读的。基于签名的检测可能无法检测到 LockBit 3.0 可执行文件,因为可执行文件的加密部分会根据用于加密的加密密钥而有所不同,同时还会生成唯一的哈希值。当提供正确的密码时,LockBit 3.0 将解密主要组件,继续解密或解压缩其代码,并执行勒索软件。
恶意文件Lockbit的技术分析4.0
在分析完成之日提供的信息。本报告的目的是告知和提高有关当事方对已记录的网络事件的认识。在最终更新之前,不应将报告视为最终。本报告有局限性,应谨慎解释!其中一些限制包括:第一阶段:信息来源:报告基于准备时可用的信息。但是,某些方面可能与实际发展有所不同。第二阶段:分析详细信息:由于资源限制,可能未深入分析恶意文件的某些方面。任何其他未知信息都可能反映报告中的变化。第三阶段:信息安全:为了保护资源和机密信息,报告中可能会删除或不包括一些详细信息。这项决定是为了维持所用数据的完整性和安全性。NCSA保留更改,更新或修改本报告任何部分的权利,恕不另行通知。本报告不是最终文件。报告的结果基于调查和分析时可用的信息。无法保证在随后的时间内报告的可能更改或更新信息。报告的作者不承担基于本报告的任何决策的滥用或后果的责任。
内容 - 分析师 1
就勒索软件攻击而言,受害者几乎总是机会目标,而不是设计目标。请记住,攻击者想要获得报酬,并寻求接触任何他们认为有利可图以支付赎金的受害者。此外,许多俄罗斯勒索软件团伙,如 LockBit,与其他团伙有着密切的关系,这些团伙有时会共享资源甚至受害者数据。12 因此,使用在多个勒索软件操作中看到的目标和行业通常不足以令人信服地支持强有力的归因。此外,2021 年 11 月,欧洲刑警组织逮捕了 12 名支持 Gogalocker 勒索软件行动的男子。13 被捕的人中没有一个人声称与 LockBit 有任何联系。如果他们有,他们可能会将这些信息作为讨价还价的筹码,以尽量减少他们面临的刑期。出于这些原因,我认为 LockBit、Gogalocker 和 Megacortex 之间的归因是错误的。
StealBit 和 ExMatter 的技术分析 | 埃森哲
在最近对 LockBit v2.0 勒索软件的调查中,埃森哲安全公司发现,攻击者最初尝试从远程服务器下载 StealBit,但最终转向开源实用程序 Rclone,因为使用该工具的尝试被阻止了。这个数据点证明了该组织的多功能性,因为它表明,虽然 LockBit 攻击者可能更喜欢使用他们的自定义工具,但他们最终会采用阻力最小的路径来实现他们的目标。此外,StealBit 的开发工作可能已经放缓,因为观察到的较新编译版本来自 2021 年第四季度,其中包括通过删除地理位置限制以及删除创建时间日期戳来实现更广泛定位的更新。
HPH 领域的勒索软件趋势(2022 年第一季度)- HHS.gov
1. LockBit、Conti、SunCrypt、ALPHV/BlackCat 和 Hive 是 2022 年第一季度影响 HPH 领域的前五大 RaaS 组织 1. LockBit 发表声明称,他们不会在俄罗斯入侵乌克兰的事件中站队;只是生意 2. Conti 表示,他们将在入侵乌克兰的事件中站在俄罗斯一边;Karakurt 被确定为 Conti 的数据勒索部门 3. SunCrypt 在 2022 年获得了新功能,尽管勒索软件似乎仍在开发中 4. ALPHV/BlackCat/Noberus 勒索软件与 BlackMatter、DarkSide 有关;BlackCat 加快了加密过程 5. Nokoyawa 勒索软件可能与 Hive、Karma/Nemty 有关
网络安全回顾性,以及如何通知2025
勒索软件攻击在2024年继续成为头条新闻,攻击者针对SMB业务,政府甚至关键基础设施。诸如Lockbit和BlackCat之类的备受瞩目的团体通过利用诸如双重贬义方法之类的策略来推动界限,黑客不仅锁定您的文件并要求钱来解锁它们 - 除非您付费,否则他们也威胁要与他人共享您的私人或敏感信息。此外,勒索软件即服务(RAAS)平台也降低了入口障碍,即使是新手“业余爱好”黑客也可以发起同样有害后果的攻击。
国家犯罪局年度报告和账目
尽管我们、警察部门和其他合作伙伴做出了努力,但严重有组织犯罪仍然比任何其他国家安全威胁更频繁地对更多人造成伤害。正如我们在 2024 年国家战略评估中所述,威胁正在增加,我们日益频繁的在线生活和新技术的引入为 SOC 团体的运作创造了更大的空间。这导致 NCA 揭露了犯罪集团组织起来并瞄准受害者的越来越复杂的方式;就在今年,NCA 控制了世界上最具危害性的网络犯罪集团 Lockbit 运营的暗网环境。
阿联酋网络安全报告2025
ecrime仍然是一个显着的威胁,勒索软件团伙(例如洛克比特,darkvault和Ransomhub)是最普遍的攻击组织。但是,在阿联酋活跃的整体勒索软件组的数量在2024年增加了58%。这得到了强大的官方网络的支持,这些网络有助于为大多数主要小组使用的勒索软件即服务(RAAS)模型提供服务。此外,在深色和黑暗的网络上廉价地使用红线,Lumma和Meta之类的Infostealers的使用有助于促进此类勒索软件帮派及其官方的活动。
#stopransomware:RansomHub Ransomware
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs.这些已通过联邦调查局威胁响应活动和第三方报告已确定。lansomhub是一种勒索软件的服务变体,被称为独眼巨人和骑士,它已成为一种高效且成功的服务模型(最近吸引了来自其他著名变体(如Lockbit和Alphv)的高调关联公司)。
NCSC 2022/II 半年报告(7 月 - 12 月)
勒索软件报告保持不变,占恶意软件类别中所有报告的近一半。76 份报告中约有三分之一涉及私人,三分之二涉及企业。LockBit 勒索软件经常用于针对企业的攻击。这种恶意软件不仅会加密数据,而且如果不支付赎金,数据还会被盗并发布在互联网上。这种双重勒索方法越来越常见。由于许多企业已经认识到勒索软件的威胁,并且现在有备份,因此单纯的加密对攻击者来说已经不够有利可图了。勒索软件事件的初始感染通常是由于漏洞或配置不当,以及带有恶意附件和链接的电子邮件。