最新动态
【QQ:2951089139】
2025勒索软件攻击案例解析 LockBit 4.0混合云加密技术 企业数据恢复谈判
发布时间:2025-12-10 21:24:50 浏览次数:66
接单与操作流程:本次攻击并非针对SwiftGlobal的定制任务,而是通过RaaS(勒索软件即服务)平台发起的“广撒网”式入侵。攻击者通过暗网论坛的RaaS招募频道,以“分支机构”身份加入,从平台获取了具备云环境识别能力的LockBit 4.0变种构建器。
1. 初始入侵:利用SwiftGlobal某第三方货运管理软件(LogiTrack Pro)的零日漏洞(CVE-2025-0173),获得边缘服务器权限。
2. 横向移动与凭据窃取:使用名为“Cerberus”的定制化信息窃取木马,在内部网络扫描,成功窃获可访问AWS S3存储桶及VMware vCenter的IAM凭据与API密钥。
3. 混合环境加密:加密程序首先识别环境。在本地ESXi主机上,直接加密虚拟机磁盘文件。在AWS中,则调用被盗的API密钥,列出并加密S3桶中所有对象,同时对EC2实例生成快照后加密原始卷。关键步骤:程序自动识别并跳过了核心路由与财务数据库系统,确保企业保有基本运营与支付能力,这是2025年勒索策略的“人性化”进化。
4. 双重勒索与谈判:加密完成后,自动向内部邮箱发送勒索信,并创建暗网谈判页面。攻击者窃取了约2TB的客户运单与合同数据作为要挟。谈判全程在Tor浏览器中进行,使用平台提供的PGP密钥通信。SwiftGlobal最终支付了85比特币(约合450万美元) 换取解密工具。然而,由于其在谈判中态度强硬并联系了执法部门,攻击者仍将部分敏感数据在“数据泄密博客”公开,作为惩罚。
技术解析:LockBit 4.0的核心创新在于其“云感知”加密引擎。它不再简单遍历文件系统,而是集成AWS CLI、Azure PowerShell模块,能直接调用云API执行破坏性操作。其解密工具使用了基于时间锁定的椭圆曲线加密算法,支付后获得的密钥仅在特定时间窗口内有效,增加了分析难度。
痕迹处理:攻击者在每个受感染主机上执行了覆盖式痕迹清除脚本:1) 清除Windows事件日志(wevtutil cl 所有日志);2) 使用timestomp工具篡改所有恶意文件的创建、访问、修改时间戳,使其与系统文件混杂;3) 卸载并删除初始漏洞利用工具LogiTrack Pro,制造“软件冲突导致数据损坏”的假象。
安全保障与报价:RaaS平台运营者抽取赎金的30%作为佣金。本次攻击的直接执行者(分支机构)获得约300万美元。收款通过平台指定的比特币地址进行,资金经过混币器(如Wasabi Wallet的CoinJoin功能)清洗后,分发至多个子钱包。平台提供“售后服务”,包括解密工具的技术支持,若解密失败可申请退款(但本次因数据泄露,服务终止)。
相关新闻
留学全学期 作业/考试/论文/Assignment一键打包
2024-08-13 21:05:31
全球服务,精准护航 我们致力于为全球留学生提供全方位、高质量的服务,真诚倾听每一位同学的需求,精准击破学习路上的重重难关,助力您轻松跨越挑战,迈向成功的新篇章。 专业评估,信心保障 依托经验丰富的教师团队,我们...
考试代考,留学代考,大學線上代考服务专业托管您的任何考试
2024-08-13 21:15:47
启辰留学服务,自其创立迄今,历经十年深耕细作,已傲然屹立于留学生学术服务领域的巅峰,赢得了业界内外广泛赞誉,成为留学生信赖的首选品牌。我们紧跟市场脉搏,持续优化服务定价策略,构建起一套既透明又公正的定价体系,该体系由资深...
留学考试找枪手替考如何做?替考代考需要注意什么?
2024-08-14 14:03:47
不可否认,英文代考服务在留学生群体中犹如一股暗流,以其独特的方式为部分学生提供了便利,往往令人心生向往,渴望借此简化学习挑战。然而,在踏入这一领域之前,深思熟虑与谨慎选择显得尤为重要。 首要之务,便是甄别并选取一家...
