勒索工行美国分行的LockBit是个什么组织？

来源：冰川思享号

撰文丨刘远举

11月8日，中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS），受到Lockbit勒索软件组织攻击。

虽然ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，但此次攻击仍然导致部分系统中断。

由于无法进入系统，因此ICBCFS暂时拖欠纽约梅隆银行90亿美元的未结算交易。

纽约梅隆银行是美国公债的唯一结算代理行，因此工行中国母公司向美国分行注资，使其能够结算交易并偿还纽约梅隆银行的欠款。此外，攻击还导致中国工商银行的企业电邮系统停止运作，迫使员工改用google邮件。

ICBCFS在声明中表示，正在专业信息安全专家团队的支持下推进恢复工作，随后，基本上恢复正常。

Lockbit勒索软件组织告诉媒体，称ICBCFS已经按要求支付了赎金。

01

LockBit RaaS是如何上位的？

勒索软件组织LockBit RaaS成立于2019年。

一开始，全球勒索软件老大是一个叫Conti的勒索软件，俄乌战争后，团队中的人各支持一方，发生内讧。

一名来自乌克兰的成员，为了报复，泄漏他们内部的聊天记录和数据。信息暴露导致团伙不敢再继续勒索，LockBit上位成为榜首大哥，他们的口号是：“让勒索软件再次伟大。”

根据MS-ISAC 的说法，2022 年，LockBit 是全世界部署最多的勒索软件变种，并在 2023 年持续“高产”。

在2022年下半年和2023年初，LockBit在所有勒索软件攻击中占据了三分之一以上的份额。

近期，美国当局及其在澳大利亚、加拿大、英国、德国、法国和新西兰的国际合作伙伴表示，短短三年内，它已成为全球最大的勒索软件。

LockBit的成员曾经公开表示：我们是有道德准则的，不会攻击医疗保健、教育、慈善组织和社会服务行业。但实际上，他们的攻击遍布金融服务、食品和农业、教育、能源、政府和应急服务、医疗保健、制造业和运输等多个行业。

从地理范围看，LockBit的攻击范围包含亚洲、欧洲和非洲等世界各地，美国是最大受害者。

美国和国际网络安全机构表示自2020 年以来，该团伙对美国实体组织发动了约 1700 次攻击，成功勒索了约9100万美元，遍及金融服务、食品业、学校、交通和政府部门等各个领域。

这些受害者包括大陆汽车巨头、英国皇家邮政、意大利国内税务局以及奥克兰市。

02

LockBit的两种“盈利模式”

LockBit赚钱的第一个模式是加密重要文件，然后勒索。

LockBit勒索软件首先通过钓鱼邮件、对账户进行暴力攻击、漏洞等方式，获取网络的初始访问权。然后，进入受害者的网络感染第一个主机，并通过这台主机将感染传播到网络中的多个设备。

比如，通过打印机服务器本地账户权限作为据点，提升到域管理员权限，逐步定位到域控、Exchange邮件服务器、共享文件服务器等多个核心服务器。

最后，对内网多个终端的关键性文件进行加密，并在受害者的受损设备上显示勒索通知，而只有使用LockBit的专有解密工具才能解密这些文件。

在勒索信中，受害者被告知要用加密货币来支付赎金。攻击者会威胁，如果不及时支付赎金，就会删除客户的敏感数据。支付了赎金，文件和系统通常就会被解锁，但也有可能不讲信誉再次勒索。

根据LockBit在暗网上的资料显示，Lockbit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件仅需要4分半钟。Lockbit使用 AES 密钥通过RSA-2048加密。

按目前的计力，要破解RSA-1024位密钥至少就需要两年时间，而破解2048位密钥起码需要80年。所以，ICBCFS能恢复正常，向Lockbit支付了赎金的说法应该是真实的。

LockBit赚钱的另一个模式是，偷文件，勒索不成就出售或公开这些数据。

11月10日，LockBit勒索软件组织公布了从波音公司窃取的大约43GB被盗的近期备份数据，最新的时间戳为10月22日。

这些数据包括波音在欧洲和北美的供应商和分销商的信息，包括名称、位置和电话号码，以及他们提供的服务，包括机身制造、结构力学、计算机和电子设备等。

泄露的数据还包括波音公司 2018 年的战略文件，详细介绍了波音公司对 2027 年之前飞行员需求的预测，以及2018 年的市场研究数据。还有该公司的财务详细信息包括销售、回扣、不良质量成本报告、净成本定价以及 2020 年标价数据。

其它详细信息包括名为“危险废物”“旋翼机”和“商业案例”的文件夹中的信息，以及波音内部培训材料的文件。想必是波音公司觉得这些数据并不是非常敏感，拒绝了勒索，数据就被犯罪团伙公开。

美国政府长期建议不要向勒赎软件集团支付费用，以阻止这种犯罪模式。但对公司而言，一般要评估，如果数据敏感、不能外泄损害声誉，或没有备份，运营又必须这些数据，那么，就只得掏腰包解封。

现在赎金都是通过比特币等加密货币支付，难以查找。

03

日益增长的全球网络安全市场

LockBit的确有很强的技术实力。

2022年3月，微软公司发现LockBit2.0存在代码缺陷，可以在不支付赎金的情况下实现文件解密。仅仅3个月后，LockBit团伙就发布了3.0版本的勒索木马（又名LockBit Black）。并且，还嚣张地向全世界的研究人员提供“漏洞赏金”计划，谁能找到这款勒索软件的Bug和漏洞，就可以领取他们的奖金。

Lockbit等勒索软件，给全球金融、货运和关键基础设施运营带来巨大威胁和损失，这一切只是刚刚开始。

人类的信息安全，最初关注保密性。在20世纪初期，通信技术还不发达，电话、电报、传真等信息交换过程中，人们强调的是信息的保密性。进入20世纪60年代后，计算机网络进入历史舞台，人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段。

20世纪80年代开始，互联网技术飞速发展，用户对整体信息安全体系的需求不断提高，除防病毒、防火墙、IDS等传统产品外，对UTM、IPS、安全审计、Soc等新型专业安全服务需求不断升级。

IDC、Gartner、中国信通院的报告分别显示2021年全球网络安全市场规模为1687.7亿美元、1577.5亿美元、1554.0亿美元，较2020年增速分别为27.8%、17.9%、13.7%。

其中，截至2023年3月31日，IDC披露了2022年全球网络安全规模为1955.1亿美元，同比增速达到15.8%；Gartner披露了2022年全球网络安全规模为1691.6亿美元，同比增速达到7.2%。

根据IDC预测，未来全球网络安全行业市场规模复合年均增长率为10.4%，预计到2028年，全球网络安全行业市场规模可达3540亿美元。

LockBit软件的泛滥反映的是网络安全对于经济、社会运行的重要性，换一个角度，这也可能成为一种国家之间超限竞争的领域。

2021年5月9日，因为美国最大燃油管道运营商Colonial Pipeline遭受勒索软件攻击，美国政府宣布美国17个州和华盛顿特区进入紧急状态，影响美国东海岸45%的能源供应。

这是一个网络攻击对国家影响的典型例子。

随着信息化程度的加深，网络攻击对全球能源基础设施、网络基础设施、货币基础设施，医疗数据、个人数据产生的威胁愈来愈大，信息安全已成为保障国家政治、经济和社会稳定的重要力量。

04

强化网络安全力量，依赖开放式竞争

所以，如果说网络、计算机是社会生产的基础，那么，信息安全就相当于是国防军。

2017年，美国前总统特朗普正式将网络司令部升级为美军的第十个作战司令部，随后，德国等北约国家开始筹备自己的网络战部队，储备网络武器。

好消息是，在这一点上，中国也有很强的实力。

近日，日本媒体联合美国信息服务提供商LexisNexis发布了全球网络安全专利排行榜。把向多个国家申请的同一专利，视为1项专利，结果显示，截至2023年的全球专利拥有数量来看，在排名前10的企业中，有6家是中国企业。

拥有专利数量首位的是美国IBM的6363件。排在第2位的是华为的5735件，第3位是腾讯控股的4803件。

从专利领域看，华为侧重于无线通信技术领域，腾讯拥有许多电子邮件和身份验证等认证技术的专利，而蚂蚁集团则侧重于数据库领域。

排名前十的其他中国公司，还包括蚂蚁集团、国家电网、阿里巴巴，中国投资。

一国企业网络安全方面的专利，一定程度上可以反映一国对网络安全技术的掌握。可见，中国在全球网络安全技术领域的影响力正在不断增强。

不过，与传统国防行业不同的是，网络防卫力量与市场息息相关，不存在军工与民用的清晰分别。这就意味着网络安全，更需要一个竞争的、开放的市场。

技术是在不断发展的，网络安全没有一劳永逸，永远是道高一尺魔高一丈，网络安全威胁将长期存在，攻击手段会越来越复杂和隐蔽。企业，特别是金融机构对于此类全球性勒索软件团伙要高度重视，提前做好防御准备工作，确保客户数据和资金的安全。