LockBit 2.0 之後,被稱為LockFile的勒索軟體的運營商是已被發現利用最近披露的缺陷(例如ProxyShell和PetitPotam)來破壞 Windows 伺服器並部署檔加密惡意軟體。LockFile利用一種稱為“間歇性加密”的新技術來繞過勒索軟體保護。該惡意軟體僅對檔的每隔 16 個位元組進行加擾,從而使其能夠逃避勒索軟體防禦。
“勒索軟體運營商通常使用部分加密來加快加密過程,我們已經看到 BlackMatter、DarkSide 和 LockBit 2.0 勒索軟體實現了它,”Sophos 工程總監 Mark Loman 在一份聲明中說。“LockFile 的不同之處在於,與其他的不同,它不加密前幾個塊。相反,LockFile 每隔 16 個位元組就加密一個文檔。”
“這意味著諸如文本文檔之類的檔仍然部分可讀,並且在統計上看起來像原始檔。這個技巧可以成功對抗依賴於使用統計分析檢查內容來檢測加密的勒索軟體保護軟體,”Loman 補充道。
Sophos 對 LockFile 的分析來自於2021 年 8 月 22 日上傳到 VirusTotal 的一個工件。
一旦存放,惡意軟體還會採取措施通過 Windows 管理介面 (WMI) 終止與虛擬化軟體和資料庫相關的關鍵進程,然後繼續加密關鍵檔和物件,並顯示與 LockBit 2.0 風格相似的勒索軟體注釋。
贖金說明還敦促受害者聯繫特定的電子郵寄地址“[email protected]”,Sophos 懷疑這可能是對一個名為 Conti 的競爭性勒索軟體組織的貶義。
更重要的是,勒索軟體會在成功加密機器上的所有文檔後將自身從系統中刪除,這意味著“沒有勒索軟體二進位檔案可供事件回應者或防毒軟體查找或清理。”
此外,美國聯邦調查局 (FBI) 發佈了一份Flash 報告,詳細介紹了一種名為 Hive 的新型勒索軟體即服務 (RaaS) 裝備的策略,該裝備由許多使用多種機制的參與者組成。
網路威脅格局永遠不會停滯不前,破壞商業網絡,竊取資料並加密網路上的資料,並試圖收集贖金以換取對解密軟體的訪問,對手將迅速抓住每一個可能的機會或工具來發動成功的攻擊,提前做好網路攻擊防禦,保護好商業機密。