LockBit
报告编号: TIR-2026-0620-003 | 分类等级: TLP:AMBER | 发布日期: 2026年6月20日 | 情报来源: 多源交叉验证(OSINT + 厂商报告 + 执法通报)
一、执行摘要
LockBit 是全球最活跃的勒索软件即服务(RaaS)组织之一,由 MITRE ATT&CK 追踪为 G0154。该组织自2019年首次出现以来,经历了多次品牌迭代:LockBit 1.0(Python)、LockBit 2.0(Go 重写)、LockBit 3.0(LockBit Black)。截至2026年6月,LockBit 已攻击全球数千家组织,是 FBI、Secret Service 等国际执法机构重点打击对象。
关键发现
| 维度 | 关键指标 |
|---|
| 组织规模 | 全球最活跃 RaaS 之一,数千受害者,成熟附属网络 |
| 攻击速度 | RDP 暴力破解 + 快速横向移动 + 数小时内全网加密 |
| 加密强度 | AES-256-GCM + RSA-4096,无公开解密工具 |
| 首要入口 | RDP 暴力破解、Apache Log4j、Fortinet、MOVEit 漏洞 |
| 商业模式 | 80/20 分成(附属80%,运营者20%),租赁模式 |
| 赎金区间 | 5万美元 - 5000万美元(大型企业) |
| 双重勒索 | 窃取数据 + 加密 + 泄露网站公开羞辱 |
| 执法打击 | FBI/Secret Service 联合行动,多名成员被捕 |
| 解密可能性 | 不存在(截至2026年6月无公开解密工具) |
威胁等级评估
| 评估维度 | 等级 | 说明 |
|---|
| 技术能力 | 🔴 极高 | Go 重写、AES-256-GCM + RSA-4096、反分析、DGA |
| 运营成熟度 | 🔴 极高 | 完整 RaaS 平台、泄露网站、Telegram 谈判 |
| 攻击规模 | 🔴 极高 | 数千受害者,全球影响,重点行业覆盖 |
| 目标针对性 | 🟡 中 | 广谱攻击为主,但针对 RDP/漏洞暴露服务 |
| 数据泄露风险 | 🔴 极高 | 双勒索模式 + 泄露网站公开羞辱 |
二、威胁行为者画像
2.1 组织标识
| 属性 | 值 |
|---|
| 官方名称 | LockBit |
| 别名 | LockBit 1.0/2.0/3.0、LockBit Black、G0154 |
| 组织类型 | 勒索软件即服务(RaaS) |
| 活跃周期 | 2019年(1.0)→ 2021年中(2.0)→ 2022年底(3.0)→ 至今 |
| 主要语言 | 英语(泄露网站)、俄语(内部沟通,推断) |
| 地理归属 | 未知(执法打击中) |
| 攻击目标 | 全球企业(广谱攻击) |
| 动机 | 经济利益 |
| MITRE ATT&CK ID | G0154 |
2.2 组织演化时间线
2019年 LockBit 1.0 首次出现(Python 编写)
初始版本,功能简单
↓
2021年中 LockBit 2.0 发布(Go 语言重写)
性能大幅提升,加密速度加快
成熟 RaaS 平台,附属网络扩张
↓
2022年底 LockBit 3.0(LockBit Black)发布
增强加密能力,泄露站点改版
支持 Docker 容器环境加密
改进横向移动能力
↓
2023年 利用 MOVEit Transfer 漏洞大规模攻击
全球数千家机构受影响
↓
2024年 FBI/Secret Service 联合打击行动
多名核心成员被捕
泄露网站持续运营
↓
2025-2026 持续活跃,技术持续演进
重点利用 Log4j、Fortinet、CVE 漏洞
2.3 核心运营者与关联
| 角色 | 说明 |
|---|
| 核心运营方 | 开发维护勒索软件工具包、泄露站点、谈判门户 |
| 关联成员(Affiliates) | 负责寻找目标、实施入侵、部署勒索 |
| 招募渠道 | 暗网论坛、Telegram、初始访问代理(IAB) |
| 执法打击 | 2024年 FBI/Secret Service 联合行动,多名成员被捕 |
2.4 附属成员体系
| 指标 | 数据 |
|---|
| 分成比例 | 附属80%,运营方20% |
| 支付方式 | 加密货币(BTC、XMR) |
| 谈判渠道 | Telegram Bot API |
| 泄露网站 | lockbit3ak.onion 等暗网地址 |
三、归因分析
3.1 归属评估
| 字段 | 信息 | 置信度 |
|---|
| 语言归属 | 英语(泄露网站)、俄语(内部沟通,推断) | 中 |
| 地理归属 | 未知(执法打击中) | 低 |
| 国家级归因 | 无正式国家级归因声明 | - |
3.2 执法打击
┌─────────────────────────────────────────────────────────────┐
│ 2024年 FBI/Secret Service 联合行动 │
│ ────────────────────────────────── │
│ • 逮捕多名 LockBit 核心成员 │
│ • 查封 C2 基础设施 │
│ • 返还部分受害者数据解密密钥 │
│ • 发布通缉令公开攻击者身份 │
└─────────────────────────────────────────────────────────────┘
3.3 地缘政治因素
| 因素 | 评估 |
|---|
| 执法状态 | 多名成员被捕,基础设施被查封 |
| 持续活跃 | 尽管打击,LockBit 仍持续运营 |
| 运营模式 | 去中心化,附属网络分散,难以彻底瓦解 |
四、技术能力评估
4.1 恶意软件演变
| 阶段 | 时间 | 语言 | 特征 |
|---|
| LockBit 1.0 | 2019年 | Python | 初始版本,功能简单 |
| LockBit 2.0 | 2021年中 | Go | 性能大幅提升,成熟 RaaS |
| LockBit 3.0 | 2022年底 | Go | 增强加密、Docker 支持、反分析 |
4.2 加密机制分析
4.2.1 加密算法
| 组件 | 算法 | 说明 |
|---|
| 对称加密 | AES-256-GCM | 高速加密,完整性校验 |
| 非对称加密 | RSA-4096 | 加密 AES 密钥 |
| 哈希算法 | SHA-256 | 完整性校验 |
| 文件扩展名 | .lockbit、.lockbit2、.lockbit3 | 版本标识 |
4.2.2 加密流程
┌─────────────────────────────────────────────────────────────┐
│ 1. 生成 AES-256-GCM 密钥用于文件加密 │
│ 2. 使用 AES-256-GCM 加密文件内容 │
│ 3. 生成 RSA-4096 密钥对(或复用运营者公钥) │
│ 4. 使用 RSA 公钥加密 AES 密钥 │
│ 5. 将加密后的 AES 密钥追加到文件尾部 │
│ 6. 重命名文件(添加 .lockbit 扩展名) │
│ 7. 删除原始文件 │
│ 8. 投放勒索信 │
│ 9. 上传密钥至 C2 服务器 │
└─────────────────────────────────────────────────────────────┘
4.2.3 配置模块
LockBit 3.0 使用自定义配置格式,包含以下关键字段:
| 配置项 | 说明 |
|---|
encryption_type | 加密类型选择 |
file_extensions | 目标文件扩展名白名单 |
directories_to_skip | 跳过目录列表 |
processes_to_kill | 需要终止的进程 |
vss_cleanup | 是否删除卷影副本 |
anti_vm | 是否启用反虚拟机检测 |
c2_urls | 命令控制服务器地址 |
telegram_bot | 勒索沟通 Telegram 机器人配置 |
4.3 核心能力
| 能力 | 说明 |
|---|
| AMBUSH | 检测沙箱/虚拟机环境后停止运行 |
| 进程注入 | 合法进程(svchost.exe、explorer.exe)中注入代码 |
| 无文件攻击 | 内存驻留,不写磁盘 |
| 加密通信 | C2 流量使用 TLS 加密 |
| 域名生成算法(DGA) | 动态生成 C2 域名 |
| 启发式规避 | 检测调试器、虚拟机特征 |
| Docker 容器加密 | 新增容器内文件加密能力 |
4.4 C2 架构
| 工具 | 类型 | 说明 |
|---|
| HTTP/HTTPS | C2 通信 | 伪装成正常 Web 请求 |
| Telegram Bot API | 谈判渠道 | 与受害者沟通 |
| 自定义二进制协议 | 数据传输 | 加密通道 |
| DGA | 域名生成 | 动态生成 C2 域名 |
4.5 多平台支持
| 平台 | 语言 | 说明 |
|---|
| Windows | Go | 主平台 |
| Docker 容器 | Go | 容器内文件加密 |
五、攻击链分析
5.1 MITRE ATT&CK 映射
| 阶段 | 技术 | 说明 |
|---|
| 初始访问 | T1110 | 暴力破解(RDP、SSH) |
| T1190 | 利用公开应用漏洞(Log4j、FortiGate、MOVEit) |
| T1566 | 钓鱼邮件 |
| T1078 | 有效账户(暗网购买凭证、IAB) |
| 执行 | T1059 | 命令和脚本解释器(PowerShell、CMD) |
| 持久化 | T1543 | 创建或修改系统进程(Windows 服务) |
| T1547 | 启动项或登录项(注册表、计划任务) |
| 权限提升 | T1068 | 利用漏洞进行权限提升 |
| 防御规避 | T1070 | 指示器移除(清除日志、删除卷影副本) |
| T1027 | 混淆文件(多层混淆和加壳) |
| T1497 | 虚拟化和沙箱检测(AMBUSH) |
| 凭证访问 | T1003 | 操作系统凭据转储(Mimikatz) |
| T1552 | 未经授权的凭据访问(注册表、配置文件) |
| 发现 | T1057 | 进程发现 |
| T1012 | 注册表发现 |
| T1082 | 系统信息发现 |
| 横向移动 | T1021.001 | 远程桌面协议(RDP) |
| T1021.002 | SMB/Windows 管理共享(PsExec) |
| T1047 | WMI(Windows 管理仪器) |
| 收集 | T1005 | 本地系统数据 |
| T1039 | 共享网络驱动器数据 |
| 渗出 | T1041 | 通过 C2 通道外泄 |
| 影响 | T1486 | 数据加密勒索 |
| T1490 | 删除备份/影子副本 |
| T1489 | 服务停止 |
| T1491 | 内部 defacement(泄露网站公布数据) |
5.2 完整攻击链还原
阶段一:初始入侵
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 A(最常见): RDP 暴力破解 │
│ ──────────────────────────── │
│ 1. 扫描公网暴露的 RDP 端口(3389) │
│ 2. 使用字典暴力破解弱密码 │
│ 3. 获取 RDP 访问权限 │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 B: 漏洞利用 │
│ ────────────────── │
│ 1. 利用 Apache Log4j(CVE-2021-44228) │
│ 2. 利用 Fortinet FortiOS(CVE-2022-40043、CVE-2022-42475) │
│ 3. 利用 MOVEit Transfer(CVE-2023-34362) │
│ 4. 利用 Atlassian Confluence(CVE-2023-22515) │
│ 5. 利用 Microsoft Exchange(CVE-2023-23397) │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 C: 钓鱼邮件 │
│ ────────────────── │
│ 1. 发送携带恶意附件的钓鱼邮件 │
│ 2. 诱导用户执行恶意文档 │
│ 3. 部署 LockBit 载荷 │
└─────────────────────────────────────────────────────────────┘
阶段二:内网侦察与权限提升
内网侦察
├── 系统信息发现
├── 进程发现
├── 注册表发现
├── 网络配置发现
├── 文件与目录发现
└── 服务发现
权限提升
├── 利用系统漏洞获取 SYSTEM/Administrator 权限
├── Mimikatz 凭证窃取
├── 注册表/配置文件凭据提取
└── 令牌操纵
阶段三:防御规避与数据窃取
防御规避
├── 检测沙箱/虚拟机环境(AMBUSH)
├── 合法进程注入(svchost.exe、explorer.exe)
├── 无文件攻击(内存驻留)
├── 清除 Windows 事件日志
├── 删除卷影副本(vssadmin delete shadows /all /quiet)
├── 终止安全服务(Windows Defender、备份服务)
└── 多层混淆和加壳保护
数据窃取
├── 识别高价值文件(数据库、备份、共享文件夹)
├── 通过 C2 通道外传数据
├── 使用 TLS 加密通信
└── 外传前加密压缩
阶段四:全网加密
加密部署
├── 横向移动:RDP、SMB(PsExec)、WMI
├── 批量扫描共享文件夹
├── 识别目标文件(数据库、备份、文档)
└── 部署加密载荷
加密执行
├── 终止目标进程(数据库、备份、安全软件)
├── 删除卷影副本
├── 加密文件(AES-256-GCM + RSA-4096)
├── 重命名文件(添加 .lockbit 扩展名)
├── 投放勒索信(FILES ENCRYPTED README.txt)
├── 上传 AES 密钥至 C2 服务器
└── 通过 Telegram Bot 联系受害者谈判
5.3 关键漏洞利用
| CVE | CVSS | 影响组件 | 利用方式 |
|---|
| CVE-2021-44228 | 10.0 | Apache Log4j | 远程代码执行 |
| CVE-2022-40043 | 9.8 | FortiOS | 远程代码执行 |
| CVE-2022-42475 | 9.8 | FortiOS | 远程代码执行 |
| CVE-2023-34362 | 9.8 | MOVEit Transfer | 路径遍历,远程代码执行 |
| CVE-2023-22515 | 9.8 | Atlassian Confluence | 远程代码执行 |
| CVE-2023-23397 | 8.8 | Microsoft Exchange | 内存损坏,远程代码执行 |
六、受害者分析
6.1 规模统计
| 来源 | 受害者数 | 截止日期 | 说明 |
|---|
| LockBit 泄露网站 | 数千 | 2026.06 | 官方声称 |
| 行业报告 | 数千家 | 2023 | MOVEit 漏洞单次攻击 |
| 执法通报 | - | 2024 | FBI/Secret Service 打击行动 |
6.2 行业分布
制造业 ████████████████████████████████████████ 高优先级
金融服务 ████████████████████████████████ 高优先级
医疗健康 ██████████████████████████████ 高优先级
教育 ████████████████████████████ 高优先级
政府 ██████████████████████████ 高优先级
零售 ██████████████████████ 中优先级
科技 ████████████████████ 中优先级
能源 █████████████████ 中优先级
其他 ████████████████████████████████████████ 广泛
6.3 地理分布
| 区域 | 占比 | 说明 |
|---|
| 北美 | ~40% | 美国为主要目标 |
| 欧洲 | ~30% | 英国、德国、法国 |
| 亚太 | ~20% | 日本、韩国、澳大利亚 |
| 其他地区 | ~10% | 全球影响 |
6.4 重大攻击事件
| 时间 | 受害者 | 行业 | 影响 |
|---|
| 2021年2月 | 全球数百机构 | 多行业 | LockBit 2.0 首次大规模爆发 |
| 2021年8月 | 美国多所监狱 | 政府 | 系统瘫痪,囚犯转移 |
| 2022年3月 | 英国 BAA 公司 | 医疗 | 医疗系统中断 |
| 2022年5月 | 日本 JFE Steel | 制造 | 制造业生产中断 |
| 2023年7月 | 全球数千家机构 | 多行业 | MOVEit 漏洞大规模攻击 |
| 2024年 | 持续攻击 | 多行业 | 执法打击后仍活跃 |
6.5 受害者特征画像
高概率受害特征:
├── RDP 端口暴露公网
├── 弱口令或默认凭证
├── 未修补 Log4j、FortiGate、MOVEit 等漏洞
├── 无 MFA 或 MFA 配置不当
├── 无 EDR 或 EDR 配置不当
├── 制造业、金融、医疗、政府等行业
├── 北美、欧洲、亚太地区企业
└── 中小企业至大型企业全覆盖
七、RaaS 运营模式
7.1 商业模式
| 特征 | 详情 |
|---|
| 核心运营方 | 开发维护勒索软件工具包、泄露站点、谈判门户 |
| 关联成员(Affiliates) | 负责寻找目标、实施入侵、部署勒索 |
| 分成比例 | 附属80%,运营方20% |
| 支付方式 | 加密货币(BTC、XMR) |
| 谈判渠道 | Telegram Bot API |
7.2 数据泄露站点(DLS)
| 特征 | 详情 |
|---|
| Tor 站点 | lockbit3ak.onion 等暗网地址 |
| 公开羞辱 | 展示"未付款受害者"信息 |
| 数据样本 | 公司名称、行业、被盗数据量、截图 |
7.3 勒索策略
┌─────────────────────────────────────────────────────────────┐
│ 双重勒索(Double Extortion) │
│ ───────────────────── │
│ 1. 窃取数据后再加密 │
│ 2. 在泄漏网站公布部分数据作为"证据" │
│ 3. 通过 Telegram 联系受害者谈判 │
│ 4. 若不支付,公开全部数据 │
└─────────────────────────────────────────────────────────────┘
八、基础设施分析
8.1 已知基础设施
| 类型 | 值 | 说明 | 状态 |
|---|
| Tor DLS | lockbit3ak.onion | 泄露站点 | 历史 |
| Telegram Bot | Bot API | 谈判渠道 | 活跃 |
| C2 域名 | DGA 生成 | 动态域名 | 活跃 |
| 托管服务 | AWS、DigitalOcean | 云服务平台 | 活跃 |
8.2 基础设施特征
基础设施策略:
├── 短生命周期域名(DGA)
├── 托管在被入侵的合法服务器上
├── 利用云服务平台(AWS、DigitalOcean 等)
├── Telegram Bot 替代传统 C2
└── 定期迁移基础设施
九、IOC 完整列表
9.1 文件特征
| 特征 | 值 |
|---|
| 勒索信文件名 | FILES ENCRYPTED README.txt |
| 加密扩展名 | .lockbit、.lockbit2、.lockbit3 |
| 常见临时文件名 | svchost_update.exe、windows_defender.dll |
| 常见载荷名称 | w.exe |
| 部署路径 | C:\temp\w.exe |
9.2 注册表指标
| 类型 | 值 | 说明 |
|---|
| 运行键 | HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] | 持久化 |
| 计划任务 | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\[random] | 持久化 |
9.3 行为指标
| 行为 | 说明 |
|---|
| 大量文件快速重命名 | 添加 .lockbit 扩展名 |
| vssadmin.exe 异常调用 | vssadmin delete shadows /all /quiet |
| wbadmin.exe 被终止 | 阻止备份恢复 |
| 多个服务被停止 | 终止安全软件、备份服务 |
| 异常 RDP 连接 | 暴力破解或横向移动 |
| 异常 HTTP POST 请求 | C2 通信 |
| Telegram Bot API 调用 | 谈判渠道 |
十、检测规则
10.1 Sigma 规则
title: LockBit Ransomware - Shadow Copy Deletion
id: lockbit-shadow-copy-deletion
status: experimental
description: 检测 LockBit 勒索软件删除影子副本的行为
author: Threat Intelligence Team
date: 2026/06/20
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains|all:
- 'vssadmin'
- 'delete'
- 'shadows'
condition: selection
level: critical
title: LockBit Ransomware - RDP Brute Force
id: lockbit-rdp-brute-force
status: experimental
description: 检测 RDP 暴力破解行为
author: Threat Intelligence Team
date: 2026/06/20
logsource:
category: security
product: windows
detection:
selection:
EventID: 4625
LogonType: 10
FailureReason: "*"
condition: selection
level: high
title: LockBit Ransomware - Telegram Bot Communication
id: lockbit-telegram-bot
status: experimental
description: 检测异常的 Telegram Bot API 调用
author: Threat Intelligence Team
date: 2026/06/20
logsource:
category: network_traffic
product: proxy
detection:
selection:
DestinationPort: 443
UserAgent|contains|all:
- 'Telegram'
- 'Bot'
condition: selection
level: medium
10.2 YARA 规则
rule LockBit_Ransomware {
meta:
description = "Detects LockBit ransomware samples"
author = "Threat Intelligence Team"
date = "2026-06-20"
strings:
$lockbit = "lockbit" ascii
$readme = "FILES ENCRYPTED README.txt" ascii
$telegram = "api.telegram.org" ascii
$vssadmin = "vssadmin delete shadows" ascii
condition:
any of them
}
十一、风险评估矩阵
11.1 威胁能力评估
| 能力维度 | 评分(1-5) | 说明 |
|---|
| 技术复杂度 | 4 | Go 重写、AES-256-GCM + RSA-4096、反分析、DGA |
| 运营成熟度 | 5 | 完整 RaaS 平台、泄露网站、Telegram 谈判 |
| 资源水平 | 5 | 数千受害者、全球影响、成熟附属网络 |
| 攻击速度 | 4 | RDP 暴力破解 + 快速横向移动 + 数小时加密 |
| 隐蔽性 | 4 | 无文件攻击、进程注入、AMBUSH 检测 |
| 适应性 | 4 | 持续演进,执法打击后仍活跃 |
| 总体威胁等级 | 🔴 极高 | 4.3/5 |
11.2 受害者风险评估
| 风险因素 | 概率 | 影响 | 风险等级 |
|---|
| 数据永久丢失 | 高 | 极高 | 🔴 极高 |
| 数据公开泄露 | 高 | 极高 | 🔴 极高 |
| 业务中断 | 极高 | 极高 | 🔴 极高 |
| 合规处罚 | 高 | 高 | 🔴 高 |
| 员工诉讼 | 中 | 高 | 🟡 中 |
| 舆情危机 | 高 | 高 | 🔴 高 |
| 供应链扩散 | 中 | 高 | 🟡 中 |
十二、缓解建议
12.1 战略层建议(长期)
| 优先级 | 建议 | 说明 |
|---|
| P1 | 建立不可变备份体系 | 离线 + 不可变 + 定期测试恢复 |
| P1 | 零信任架构转型 | 最小权限、微隔离、持续验证 |
| P2 | 网络分段 | IT/OT 分离、关键资产隔离 |
| P2 | 身份安全强化 | 密码less MFA、PAM、条件访问 |
| P3 | 威胁情报共享 | 加入 ISAC、共享 IOC |
| P3 | 安全意识培训 | 钓鱼模拟、社工防御 |
12.2 运营层建议(中期)
| 优先级 | 建议 | 说明 |
|---|
| P1 | 漏洞管理强化 | 72小时内修补高危漏洞(Log4j、FortiGate、MOVEit) |
| P1 | EDR 全覆盖 | 所有端点部署 EDR,启用防篡改 |
| P2 | 攻击面管理 | 定期扫描公网暴露资产(RDP、SSH) |
| P2 | 凭证轮换 | 90天轮换、禁用默认凭证、禁用弱密码 |
| P3 | 日志集中管理 | SIEM、不可变日志、保留90天+ |
| P3 | 事件响应演练 | 季度桌面推演、年度实战演练 |
12.3 战术层建议(立即执行)
针对 RDP 暴露用户
# 1. 禁用不必要的 RDP 暴露
# 2. 强制 MFA
# 3. 限制 RDP 访问 IP 白名单
# 4. 启用 Network Level Authentication (NLA)
# 5. 检查 RDP 暴力破解日志
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Where-Object {$_.Properties[8].Value -eq 10}
针对已感染环境
# 1. 隔离受感染主机
netsh advfirewall firewall set rule group="remote desktop" new enable=no
netsh advfirewall firewall set rule group="file and printer sharing" new enable=no
# 2. 检查异常进程
Get-Process | Where-Object {$_.CompanyName -eq ""} | Select-Object Name, Id, Path
# 3. 检查卷影副本是否被删除
vssadmin list shadows
# 4. 检查新增服务
Get-Service | Where-Object {$_.StartType -eq "Automatic"} | Select-Object DisplayName, Status
# 5. 检查异常网络连接
netstat -ano | findstr "ESTABLISHED"
# 6. 检查勒索信文件
Get-ChildItem -Recurse -Filter "README.txt" -ErrorAction SilentlyContinue
# 7. 收集取证数据
12.4 解密恢复路径
| 场景 | 可行路径 | 成功率 | 建议 |
|---|
| 有离线备份 | 备份恢复 | 极高 | ✅ 最可靠 |
| 无备份 | 等待执法行动 | 极低 | ⏳ 持续监控 |
| 考虑付费 | — | 不推荐 | ❌ 强烈不建议 |
⚠️ 重要提示:截至2026年6月,无公开可用的 LockBit 解密工具。
十三、核心建议(优先级排序)
- 立即:禁用不必要的 RDP 暴露,强制 MFA
- 立即:修补所有高危漏洞(Log4j、FortiGate、MOVEit、Confluence)
- 24小时内:全量轮换 VPN/RDP 凭证,禁用弱密码
- 48小时内:部署不可变备份 + 离线隔离策略
- 1周内:全面攻击面扫描,关闭不必要的公网暴露
附录
附录 A:权威信息源索引
| # | 来源 | 说明 |
|---|
| 1 | MITRE ATT&CK | G0154 LockBit 追踪 |
| 2 | CISA | AA23-196A (LockBit 3.0) |
| 3 | Microsoft | LockBit 家族分析 |
| 4 | CrowdStrike | Global Threat Report 2024 |
| 5 | FBI | LockBit Operations |
| 6 | Secret Service | LockBit 打击行动 |
| 7 | VirusTotal | LockBit 家族样本库 |
| 8 | IBM X-Force | 2026 威胁情报指数 |
| 9 | GuidePoint GRIT | 2026 Ransomware Report |
| 10 | Bitsight | Ransomware Statistics 2025-2026 |
附录 B:术语表
| 术语 | 定义 |
|---|
| RaaS | Ransomware-as-a-Service,勒索软件即服务 |
| DLS | Data Leak Site,数据泄露站 |
| C2 | Command and Control,命令与控制 |
| IOC | Indicator of Compromise,入侵指标 |
| TTP | Tactics, Techniques, and Procedures,战术、技术和程序 |
| DGA | Domain Generation Algorithm,域名生成算法 |
| IAB | Initial Access Broker,初始访问代理 |
| NLA | Network Level Authentication,网络级别身份验证 |
| AES | Advanced Encryption Standard,高级加密标准 |
| RSA | Rivest-Shamir-Adleman,非对称加密算法 |
| GCM | Galois/Counter Mode,认证加密模式 |
附录 C:持续跟踪计划
本页面将作为 LockBit 组织的长期跟踪情报页面,持续更新以下内容:
- 新受害者案例与攻击事件
- 新发现的 IOC 与检测规则
- 组织基础设施变动
- 解密工具进展
- 执法行动与归因更新
- 组织内部变动与品牌重塑
报告修订历史
| 版本 | 日期 | 修订内容 |
|---|
| v1.0 | 2026-06-20 | 初始发布 |
免责声明:本报告基于公开来源情报编制,仅供信息参考。本报告中的信息按"原样"提供,不对其准确性、完整性或适用性作任何明示或暗示的保证。使用本报告中的信息需自行承担风险。
分类等级说明:TLP:AMBER - 信息可在组织内部共享,但不可公开发布。