[点晴永久免费OA]这个勒索组织曾经让全球机构闻风丧胆——LockBit 到底是怎么回事
|
admin
2026年7月18日 0:50
本文热度 14
|
如果你做安全这行,LockBit 这个名字不可能没听过它不是某一次攻击事件的代号,而是一个持续活跃多年、全球伤害最大的勒索组织之一。
LockBit 是什么
LockBit 是一个典型的 勒索软件即服务(RaaS) 组织。运作模式不复杂:组织者开发勒索软件、搭建基础设施,然后招募"加盟商"( affiliates)去实施攻击。攻击成功之后,收入分成——组织者拿一部分,加盟攻击者拿大头。这种模式让 LockBit 的"产能"远超传统黑客组织:
他们怎么干的
第一步:入侵
LockBit 及其加盟商通过多种途径进入目标网络:弱口令爆破(尤其是暴露在互联网的 RDP、VPN)利用已知漏洞(如 ProxyLogon、Log4Shell)
第二步:横向移动 + 数据打包
进去之后,第一件事往往不是加密,而是先把数据搬出来。LockBit 采用典型的双重勒索模式:数据我不光要加密,还要先复制一份走。加密之前,你有两个选择——付钱,或者让你的数据被公开。
第三步:加密勒索
数据到手之后,部署勒索软件,加密文件,留下一封勒索信。赎金从几万到几千万美元不等,看目标体量定。
几个你可能记得的案例
英国皇家邮政(Royal Mail):2023年初,LockBit 攻击导致国际快递业务瘫痪,勒索数千万美元未果,敏感数据被公开美国医疗巨头 United Health:虽然 United Health 确认的是 Change Healthcare 被攻击,但 LockBit 及其类似组织长期盯着医疗行业,赎金谈判是常态
为什么 LockBit 难打
1. RaaS 模式让责任链不清晰
2. 法律管辖难
LockBit 的核心人员据信在俄罗斯境内长期活动,长期处于"不抓但也不保护"的状态。国际执法协作阻力大。
3. 赎金支付刺激黑产生态
有人付钱,就有人愿意冒险。地下市场形成了完整的需求-供给链条。
我们防什么
收紧入口——弱口令是最大突破口
RDP、VPN、远程管理端口,能不开就不开,必须开的强制双因素认证。这是 LockBit 入侵最常见的起点。
盯住边界流量
勒索软件部署之前,攻击者往往已经在内网潜伏了数天甚至数周。异常的上传流量、异常的 SMB/ RDP 连接,要能看见。
数据备份但不只靠备份
备份能恢复,但防不住数据被窃。备份 + 数据分类 + 访问控制,三层一起做。
事件响应预案要提前跑通
LockBit 攻击往往在深夜或节假日发起。等你上班再反应,黄花菜凉了。勒索谈判窗口通常只有72小时,预案没跑过的团队这时候就是瞎子。
LockBit 被执法机构多次打击,也多次复活。这个模式不会消失,只要赎金有人付,就有人愿意干。防御的核心从来不是"让攻击者不来",而是"让攻击者进来之后动不了、拿不走、拖不起"。
阅读原文:点击这里
该文章在 2026/7/18 0:50:31 编辑过