僵尸網(wǎng)絡(luò)暗中助攻，LockBit勒索攻擊風(fēng)險(xiǎn)升級

2026-01-09 17:12:46
我要分享


微信掃碼分享

事件概述

今年1月初，360反勒索服務(wù)集中接到數(shù)十例勒索攻擊求助。經(jīng)溯源分析確認(rèn)，此次發(fā)起攻擊的是Lockbit勒索軟件變種，而攻擊來源是國內(nèi)流行多年的Phorpiex僵尸網(wǎng)絡(luò)。攻擊行為集中發(fā)生在凌晨3點(diǎn)左右以及20點(diǎn)之后這兩個(gè)時(shí)段。

此次發(fā)起攻擊的Lockbit勒索病毒，代碼形式上與之前泄露的Lockbit代碼比較接近，而之前運(yùn)營Lockbit的組織早已更新了其代碼，因此判定，本次傳播的家族屬于基于LockBit泄露代碼自建的勒索軟件變種，而該變種將自己命名為Aware。傳播該勒索病毒的便是臭名昭著的Phorpiex?僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)在國內(nèi)有大批被感染計(jì)算機(jī)，尤其是沒有正確安裝安全軟件的公共計(jì)算機(jī)。該僵尸網(wǎng)絡(luò)通常會向用戶計(jì)算機(jī)中植入挖礦木馬，本次傳播勒索病毒，使其危害進(jìn)一步加大。這也給被其攻擊的企事業(yè)單位的數(shù)據(jù)安全和系統(tǒng)穩(wěn)定帶來了多個(gè)維度的巨大安全威脅。歷史上，Phorpiex 僵尸網(wǎng)絡(luò)也曾多次與Lockbit勒索軟件合作。

入侵與加密

360反勒索經(jīng)過大量溯源分析確認(rèn)，本次勒索攻擊通過僵尸網(wǎng)絡(luò)下發(fā)。而攻擊則集中在未安裝360終端安全產(chǎn)品或未開啟相關(guān)防護(hù)的設(shè)備中。而已安裝360客戶端并正常開啟安全防護(hù)功能的設(shè)備，均可有效防護(hù)勒索攻擊。

而Aware勒索軟件本身還根據(jù)運(yùn)行參數(shù)來執(zhí)行不同的加密方式，實(shí)現(xiàn)黑客攻擊時(shí)能夠根據(jù)被入侵設(shè)備的實(shí)際情況指定加密效率的最大化。

同樣為了提高加密效率，勒索軟件還會判斷被加密的文件大小——僅對小于5MB的文件全部加密，而對更大的文件僅加密默認(rèn)值為20%的頭部數(shù)據(jù)。

完成全部加密工作后，Aware勒索軟件會留下勒索信。在這封勒索信中留下的談判網(wǎng)址則是一個(gè)洋蔥網(wǎng)絡(luò)中的暗網(wǎng)地址。

360安全人員假扮成受害者嘗試與攻擊者進(jìn)行聯(lián)系，對方索要價(jià)值2300美元的比特幣作為解密贖金。

攔截查殺

360安全衛(wèi)士客戶端自帶的“滲透痕跡記錄”檢測功能可以成功檢出受攻擊的系統(tǒng)中存在“感染僵尸網(wǎng)絡(luò)”的痕跡。這也正是本次Aware勒索軟件最為常見的入侵方式。

一些事后安裝360終端安全產(chǎn)品的受害者，也在設(shè)備中檢出了相關(guān)僵尸網(wǎng)絡(luò)木馬的活動(dòng)，由于僵尸網(wǎng)絡(luò)木馬的內(nèi)網(wǎng)傳播性與平時(shí)靜默集中爆發(fā)的危害特性，建議政企單位盡快集中排查。

IOCs

SHA1

b72e4d7591f207439134b68fb9064903c0ea844f

c95056c8682373d0512aea2ed72c18f79c854308

6d2185a644bb09d01fe35272c84f1739cfcfc28d

d82a76db31733b9bcb48287bd5449d10180870c8

暗網(wǎng)地址

ui2uleaiisccbtcooyi34cy5u3plpd5wraiza6wtibolshuf7tnzziid[.]onion

BTC地址

1N4mzsh8tc4unnmTQeNVPoeTrqRLry6XTk

熱點(diǎn)排行

僵尸網(wǎng)絡(luò)暗中助攻，LockBit勒索攻擊風(fēng)險(xiǎn)升級

熱點(diǎn)排行

關(guān)注我們

僵尸網(wǎng)絡(luò)暗中助攻，LockBit勒索攻擊風(fēng)險(xiǎn)升級