图片来源／@ReyXBF on X

恶名昭彰的勒索软件LockBit上周疑似遭骇，网站资产、密码及程序码公开于网路上，研究人员也发现了LockBit下手的攻击目标及策略。

Bleeping Computer网站报导，名为Rey的骇客界人士首先发现，LockBit的联盟网站首先被置换成文字讯息：「Donpt Do Crime. Crime is Bad. Xoxo from Prage」，并且贴上了一个连向下载外洩SQL资料库压缩档的连结。

LockBit是着名的勒索软件即服务（Ransomware as a Service），是近年最主要的勒索软件攻击来源。其受害者超过2000家企业，包括航太龙头业者波音（Boeing）、中国工商银行、日本名古屋港及台积电供应商擎昊等。

根据Bleeping Computer及Qualys安全研究人员的分析，这份压缩档疑为LockBit的内部资产，其中包含近6万个bitcoin网址、由合作伙伴建立的攻击程序build、储存build的基础架构配置、勒索软件骇和受害者从去年12月到4月底的协调对话纪录4000多笔。此外还有可存取合作网路资源的75名管理员密码，有的还是明文储存。

Rey和代号为LockBitSuppLockBit管理员的对话中，LockBit方面证实遭骇，但表示没有私钥或资料外洩。

专业媒体Dark Reading报导，外洩的SQL 资料库还显示其他LockBit攻击策略。例如LockBit在选择攻击目标时，可能挑选配置不当或授权过大的网域控制器（domain controller）。他们也锁定备份／回复代理人（agent）、磁碟加密设施及企业备份解决方案（如Citrix Encryption Service Utility and Storage Sync Agent），攻击时先关闭这些服务，防止系统回复资料。

此外，这些资料还透露一些LockBIt的活动纪录，例如在5个月内，其受害者有超过1/3（35.5%）位于亚太区，仅10%位于北美。Qualys分析，LockBit要求的赎金远小于其所称的数百万美元。从小案件的4000美元，到较大案件的15万美元，而且若受害者支付Monero币而非比特币，则赎金要求最高还会打折20%。

这并非LockBit首次被外力入侵。去年2月LockBit网路基础架构遭美、英及澳洲警方合作的Operation Cronos 查缉，关闭服务器、并接管攻击者及加密货币帐户，并逮捕主嫌。

LockBit在去年春天的执法行动后试图重建并寻找合作伙伴，但趋势科技表示，监测资料显示LockBit重建并不成功。