勒索工行美國分行的LockBit是個什麼組織？_風聞

賽格特約作者  劉遠舉

11月8日，中國工商銀行在美全資子公司——工銀金融服務有限責任公司（ICBCFS），受到Lockbit勒索軟件組織攻擊。雖然ICBCFS表示，發現攻擊後立即切斷並隔離了受影響系統，但此次攻擊仍然導致部分系統中斷。

由於無法進入系統，因此ICBCFS暫時拖欠紐約梅隆銀行90億美元的未結算交易。紐約梅隆銀行是美國公債的唯一結算代理行，因此工行中國母公司向美國分行注資，使其能夠結算交易並償還紐約梅隆銀行的欠款。此外，攻擊還導致中國工商銀行的企業電郵系統停止運作，迫使員工改用Google郵件。

ICBCFS在聲明中表示，正在專業信息安全專家團隊的支持下推進恢復工作，隨後，基本上恢復正常。Lockbit勒索軟件組織告訴媒體，稱ICBCFS已經按要求支付了贖金。

LockBit RaaS是如何上位的？

勒索軟件組織LockBit RaaS成立於2019年。一開始，全球勒索軟件老大是一個叫Conti的勒索軟件，俄烏戰爭後，團隊中的人各支持一方，發生內訌。一名來自烏克蘭的成員，為了報復，泄漏他們內部的聊天記錄和數據。信息暴露導致團伙不敢再繼續勒索，LockBit上位成為榜首大哥，他們的口號是：“讓勒索軟件再次偉大。”

根據MS-ISAC 的説法，2022 年，LockBit 是全世界部署最多的勒索軟件變種，並在 2023 年持續“高產”。

在2022年下半年和2023年初，LockBit在所有勒索軟件攻擊中佔據了三分之一以上的份額。近期，美國當局及其在澳大利亞、加拿大、英國、德國、法國和新西蘭的國際合作夥伴表示，短短三年內，它已成為全球最大的勒索軟件。

LockBit的成員曾經公開表示：我們是有道德準則的，不會攻擊醫療保健、教育、慈善組織和社會服務行業。但實際上，他們的攻擊遍佈金融服務、食品和農業、教育、能源、政府和應急服務、醫療保健、製造業和運輸等多個行業。

從地理範圍看，LockBit的攻擊範圍包含亞洲、歐洲和非洲等世界各地，美國是最大受害者。美國和國際網絡安全機構表示自2020 年以來，該團伙對美國實體組織發動了約 1700 次攻擊，成功勒索了約9100萬美元，遍及金融服務、食品業、學校、交通和政府部門等各個領域。這些受害者包括大陸汽車巨頭、英國皇家郵政、意大利國內税務局以及奧克蘭市。

LockBit的兩種“盈利模式”

LockBit賺錢的第一個模式是加密重要文件，然後勒索。

LockBit勒索軟件首先通過釣魚郵件、對賬户進行暴力攻擊、漏洞等方式，獲取網絡的初始訪問權。然後，進入受害者的網絡感染第一個主機，並通過這台主機將感染傳播到網絡中的多個設備。比如，通過打印機服務器本地賬户權限作為據點，提升到域管理員權限，逐步定位到域控、Exchange郵件服務器、共享文件服務器等多個核心服務器。最後，對內網多個終端的關鍵性文件進行加密，並在受害者的受損設備上顯示勒索通知，而只有使用LockBit的專有解密工具才能解密這些文件。

在勒索信中，受害者被告知要用加密貨幣來支付贖金。攻擊者會威脅，如果不及時支付贖金，就會刪除客户的敏感數據。支付了贖金，文件和系統通常就會被解鎖，但也有可能不講信譽再次勒索。

根據LockBit在暗網上的資料顯示，Lockbit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件僅需要4分半鐘。Lockbit使用 AES 密鑰通過RSA-2048加密。按目前的計力，要破解RSA-1024位密鑰至少就需要兩年時間，而破解2048位密鑰起碼需要80年。所以，ICBCFS能恢復正常，向Lockbit支付了贖金的説法應該是真實的。

LockBit賺錢的另一個模式是，偷文件，勒索不成就出售或公開這些數據。

11月10日，LockBit勒索軟件組織公佈了從波音公司竊取的大約43GB被盜的近期備份數據，最新的時間戳為10月22日。這些數據包括波音在歐洲和北美的供應商和分銷商的信息，包括名稱、位置和電話號碼，以及他們提供的服務，包括機身製造、結構力學、計算機和電子設備等。

泄露的數據還包括波音公司 2018 年的戰略文件，詳細介紹了波音公司對 2027 年之前飛行員需求的預測，以及2018 年的市場研究數據。還有該公司的財務詳細信息包括銷售、回扣、不良質量成本報告、淨成本定價以及 2020 年標價數據。其它詳細信息包括名為“危險廢物”“旋翼機”和“商業案例”的文件夾中的信息，以及波音內部培訓材料的文件。想必是波音公司覺得這些數據並不是非常敏感，拒絕了勒索，數據就被犯罪團伙公開。

美國政府長期建議不要向勒贖軟件集團支付費用，以阻止這種犯罪模式。但對公司而言，一般要評估，如果數據敏感、不能外泄損害聲譽，或沒有備份，運營又必須這些數據，那麼，就只得掏腰包解封。現在贖金都是通過比特幣等加密貨幣支付，難以查找。

日益增長的全球網絡安全市場

LockBit的確有很強的技術實力。2022年3月，微軟公司發現LockBit2.0存在代碼缺陷，可以在不支付贖金的情況下實現文件解密。僅僅3個月後，LockBit團伙就發佈了3.0版本的勒索木馬（又名LockBit Black）。並且，還囂張地向全世界的研究人員提供“漏洞賞金”計劃，誰能找到這款勒索軟件的Bug和漏洞，就可以領取他們的獎金。

Lockbit 3.0推出首個勒索軟件漏洞賞金計劃

Lockbit等勒索軟件，給全球金融、貨運和關鍵基礎設施運營帶來巨大威脅和損失，這一切只是剛剛開始。

人類的信息安全，最初關注保密性。在20世紀初期，通信技術還不發達，電話、電報、傳真等信息交換過程中，人們強調的是信息的保密性。進入20世紀60年代後，計算機網絡進入歷史舞台，人們對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段。20世紀80年代開始，互聯網技術飛速發展，用户對整體信息安全體系的需求不斷提高，除防病毒、防火牆、IDS等傳統產品外，對UTM、IPS、安全審計、Soc等新型專業安全服務需求不斷升級。

IDC、Gartner、中國信通院的報告分別顯示2021年全球網絡安全市場規模為1687.7億美元、1577.5億美元、1554.0億美元，較2020年增速分別為27.8%、17.9%、13.7%。其中，截至2023年3月31日，IDC披露了2022年全球網絡安全規模為1955.1億美元，同比增速達到15.8%;Gartner披露了2022年全球網絡安全規模為1691.6億美元，同比增速達到7.2%。根據IDC預測，未來全球網絡安全行業市場規模複合年均增長率為10.4%，預計到2028年，全球網絡安全行業市場規模可達3540億美元。

LockBit軟件的泛濫反映的是網絡安全對於經濟、社會運行的重要性，換一個角度，這也可能成為一種國家之間超限競爭的領域。2021年5月9日，因為美國最大燃油管道運營商Colonial Pipeline遭受勒索軟件攻擊，美國政府宣佈美國17個州和華盛頓特區進入緊急狀態，影響美國東海岸45%的能源供應。

這是一個網絡攻擊對國家影響的典型例子。隨着信息化程度的加深，網絡攻擊對全球能源基礎設施、網絡基礎設施、貨幣基礎設施，醫療數據、個人數據產生的威脅愈來愈大，信息安全已成為保障國家政治、經濟和社會穩定的重要力量。

強化網絡安全力量，依賴開放式競爭

所以，如果説網絡、計算機是社會生產的基礎，那麼，信息安全就相當於是國防軍。2017年，美國前總統特朗普正式將網絡司令部升級為美軍的第十個作戰司令部，隨後，德國等北約國家開始籌備自己的網絡戰部隊，儲備網絡武器。好消息是，在這一點上，中國也有很強的實力。

近日，日本媒體聯合美國信息服務提供商LexisNexis發佈了全球網絡安全專利排行榜。把向多個國家申請的同一專利，視為1項專利，結果顯示，截至2023年的全球專利擁有數量來看，在排名前10的企業中，有6家是中國企業。擁有專利數量首位的是美國IBM的6363件。排在第2位的是華為的5735件，第3位是騰訊控股的4803件。

從專利領域看，華為側重於無線通信技術領域，騰訊擁有許多電子郵件和身份驗證等認證技術的專利，而螞蟻集團則側重於數據庫領域。排名前十的其他中國公司，還包括螞蟻集團、國家電網、阿里巴巴，中國投資。

一國企業網絡安全方面的專利，一定程度上可以反映一國對網絡安全技術的掌握。可見，中國在全球網絡安全技術領域的影響力正在不斷增強。不過，與傳統國防行業不同的是，網絡防衞力量與市場息息相關，不存在軍工與民用的清晰分別。這就意味着網絡安全，更需要一個競爭的、開放的市場。

技術是在不斷發展的，網絡安全沒有一勞永逸，永遠是道高一尺魔高一丈，網絡安全威脅將長期存在，攻擊手段會越來越複雜和隱蔽。企業，特別是金融機構對於此類全球性勒索軟件團伙要高度重視，提前做好防禦準備工作，確保客户數據和資金的安全。