最新动态
【QQ:2951089139】
2025勒索软件攻击案例解析 LockBit 4.0混合云加密技术 企业数据恢复谈判
发布时间:2025-12-10 21:24:50 浏览次数:99
接单与操作流程:本次攻击并非针对SwiftGlobal的定制任务,而是通过RaaS(勒索软件即服务)平台发起的“广撒网”式入侵。攻击者通过暗网论坛的RaaS招募频道,以“分支机构”身份加入,从平台获取了具备云环境识别能力的LockBit 4.0变种构建器。
1. 初始入侵:利用SwiftGlobal某第三方货运管理软件(LogiTrack Pro)的零日漏洞(CVE-2025-0173),获得边缘服务器权限。
2. 横向移动与凭据窃取:使用名为“Cerberus”的定制化信息窃取木马,在内部网络扫描,成功窃获可访问AWS S3存储桶及VMware vCenter的IAM凭据与API密钥。
3. 混合环境加密:加密程序首先识别环境。在本地ESXi主机上,直接加密虚拟机磁盘文件。在AWS中,则调用被盗的API密钥,列出并加密S3桶中所有对象,同时对EC2实例生成快照后加密原始卷。关键步骤:程序自动识别并跳过了核心路由与财务数据库系统,确保企业保有基本运营与支付能力,这是2025年勒索策略的“人性化”进化。
4. 双重勒索与谈判:加密完成后,自动向内部邮箱发送勒索信,并创建暗网谈判页面。攻击者窃取了约2TB的客户运单与合同数据作为要挟。谈判全程在Tor浏览器中进行,使用平台提供的PGP密钥通信。SwiftGlobal最终支付了85比特币(约合450万美元) 换取解密工具。然而,由于其在谈判中态度强硬并联系了执法部门,攻击者仍将部分敏感数据在“数据泄密博客”公开,作为惩罚。
技术解析:LockBit 4.0的核心创新在于其“云感知”加密引擎。它不再简单遍历文件系统,而是集成AWS CLI、Azure PowerShell模块,能直接调用云API执行破坏性操作。其解密工具使用了基于时间锁定的椭圆曲线加密算法,支付后获得的密钥仅在特定时间窗口内有效,增加了分析难度。
痕迹处理:攻击者在每个受感染主机上执行了覆盖式痕迹清除脚本:1) 清除Windows事件日志(wevtutil cl 所有日志);2) 使用timestomp工具篡改所有恶意文件的创建、访问、修改时间戳,使其与系统文件混杂;3) 卸载并删除初始漏洞利用工具LogiTrack Pro,制造“软件冲突导致数据损坏”的假象。
安全保障与报价:RaaS平台运营者抽取赎金的30%作为佣金。本次攻击的直接执行者(分支机构)获得约300万美元。收款通过平台指定的比特币地址进行,资金经过混币器(如Wasabi Wallet的CoinJoin功能)清洗后,分发至多个子钱包。平台提供“售后服务”,包括解密工具的技术支持,若解密失败可申请退款(但本次因数据泄露,服务终止)。
相关新闻
代考Commerce/Business 商科专业,专业替考Commerce/Business 商科课程
2024-08-16 12:09:17
什么是数据分析? 我们生活在一个数据化的世界,从社交媒体到移动应用程序,每个行业都离不开数据。通过分析这些数据,人们可以更好地了解和理解自己的行为、市场趋势以及竞争对手的动态。||总的来说,数据分析是一种多领域融合的技术...
留学挑战应对策略:从困境中崛起,重塑学习辉煌。毕业挂科,被开除,警告处分
2024-08-31 10:51:47
面对留学途中不期而遇的挂科与警告处分,学生需展现出不屈不挠的精神,采取一系列积极主动且高效的策略,以最大限度地减轻其负面影响,并迅速重归正轨,焕发学习新活力。以下是精心雕琢的应对策略指南: 一、冷静自省,...
教育部学历认证,其实就是证明你的学历是真的。办理流程也挺简单
2024-09-01 18:02:20
在美国的高等教育体系中,学生毕业所需达成的标准极为严苛,这体现在诸如攻读学士学位通常需要累积120至128学分,乃至180至192学分不等的严格要求上,且要求所有必修课程顺利通过,同时维持一个令人满意的GPA成绩,方能荣...
