勒索軟體LockBit傳出遭駭，內部資料外流

惡名昭彰的勒索軟體LockBit上周疑似遭駭，網站資產、密碼及程式碼公開於網路上，研究人員也發現了LockBit下手的攻擊目標及策略。

Bleeping Computer網站報導，名為Rey的駭客界人士首先發現，LockBit的聯盟網站首先被置換成文字訊息：「Donpt Do Crime. Crime is Bad. Xoxo from Prage」，並且貼上了一個連向下載外洩SQL資料庫壓縮檔的連結。

LockBit是著名的勒索軟體即服務（Ransomware as a Service），是近年最主要的勒索軟體攻擊來源。其受害者超過2000家企業，包括航太龍頭業者波音（Boeing）、中國工商銀行、日本名古屋港及台積電供應商擎昊等。

根據Bleeping Computer及Qualys安全研究人員的分析，這份壓縮檔疑為LockBit的內部資產，其中包含近6萬個bitcoin網址、由合作夥伴建立的攻擊程式build、儲存build的基礎架構配置、勒索軟體駭和受害者從去年12月到4月底的協調對話紀錄4000多筆。此外還有可存取合作網路資源的75名管理員密碼，有的還是明文儲存。

Rey和代號為LockBitSuppLockBit管理員的對話中，LockBit方面證實遭駭，但表示沒有私鑰或資料外洩。

專業媒體Dark Reading報導，外洩的SQL 資料庫還顯示其他LockBit攻擊策略。例如LockBit在選擇攻擊目標時，可能挑選配置不當或授權過大的網域控制器（domain controller）。他們也鎖定備份／回復代理人（agent）、磁碟加密設施及企業備份解決方案（如Citrix Encryption Service Utility and Storage Sync Agent），攻擊時先關閉這些服務，防止系統回復資料。

此外，這些資料還透露一些LockBIt的活動紀錄，例如在5個月內，其受害者有超過1/3（35.5%）位於亞太區，僅10%位於北美。Qualys分析，LockBit要求的贖金遠小於其所稱的數百萬美元。從小案件的4000美元，到較大案件的15萬美元，而且若受害者支付Monero幣而非比特幣，則贖金要求最高還會打折20%。

這並非LockBit首次被外力入侵。去年2月LockBit網路基礎架構遭美、英及澳洲警方合作的Operation Cronos 查緝，關閉伺服器、並接管攻擊者及加密貨幣帳戶，並逮捕主嫌。

LockBit在去年春天的執法行動後試圖重建並尋找合作夥伴，但趨勢科技表示，監測資料顯示LockBit重建並不成功。