LockBit 4.0 采用新型规避技术瞄准医疗保健行业
LockBit 4.0 operators 已针对北美和欧洲的医疗保健组织发起了一场协同攻击行动,部署了经过更新的 ransomware,该 ransomware 具备增强的 EDR 规避能力,并配备了一个新的 double-extortion portal。
Indicators of Compromise (6)
| Type ↑ | Value | Description | Conf | |
|---|---|---|---|---|
| Domain | lb4portal-exfil.onion | LockBit 4.0 double-extortion portal | high | |
| File Path | C:\ProgramData\Microsoft\Fonts\fontdrvhost.dll | Malicious DLL side-loading path | high | |
| SHA256 | a3f8c2d9e1b47f6a0c5d8e2b1f4a9c3d7e0b5f8a2c6d9e3b0f7a4c1d8e5b2f9 | LockBit 4.0 encryptor binary | high | |
| SHA256 | b9e2d5a8c1f4e7b0d3a6c9f2b5e8d1a4c7f0b3e6d9a2c5f8b1e4d7a0c3f6b9e2 | Legitimate-looking loader (signed certificate abuse) | high | |
| IP | 185.220.101.47 | C2 server — AS TOR exit node | high | |
| IP | 194.165.16.11 | Initial access broker infrastructure | medium |
MITRE ATT&CK® TTPs (8)
Click any technique to view details on attack.mitre.org
执行摘要
LockBit 4.0 运营者针对北美和西欧的医疗保健组织发起了一场定向攻击活动,已确认在 2026 年 3 月 25 日至 4 月 8 日期间,有七家医院网络和两家制药公司遭到入侵。攻击利用了两个近期修补的 VPN 漏洞(CVE-2025-4821 和 CVE-2025-3301)作为初始访问向量,在部署勒索软件前的平均驻留时间为 11 天。
更新后的加密器引入了间歇性加密——仅加密文件内的特定字节范围——这显著减少了加密时间,同时使得在没有威胁行为者密钥的情况下文件无法恢复。TOR 网络上的一个新双重勒索门户托管了窃取的患者数据,作为勒索谈判的筹码。
防御者应立即审核 VPN 设备的补丁状态,限制 RDP 暴露,并针对下文记录的更新规避技术验证 EDR 覆盖情况。
技术分析
初始访问
攻击者利用未打补丁的 Ivanti Connect Secure(CVE-2025-4821,CVSS 9.8)和 Pulse Secure(CVE-2025-3301,CVSS 9.1)VPN 设备。这两个漏洞都允许预认证远程代码执行。CISA 于 2026 年 2 月针对这两个 CVE 发布了紧急指令,但在入侵发生时,仍有相当一部分医疗保健组织未应用补丁。
利用成功后,攻击者通过 VPN 进程上下文投放一个 PowerShell 分阶段加载器:
# Observed dropper (de-obfuscated)
$stage2 = [System.Convert]::FromBase64String($env:COMSPEC_EXT)
[System.Reflection.Assembly]::Load($stage2).EntryPoint.Invoke($null, $null)
持久化与防御规避
加载器通过 fontdrvhost.exe(一个合法签名的 Microsoft 二进制文件)滥用 DLL 侧加载。恶意的 fontdrvhost.dll 被投放到 C:\ProgramData\Microsoft\Fonts\,并在该二进制文件作为服务执行时被加载。此技术可绕过信任已签名父进程的应用程序白名单解决方案。
一个修改过的 Mimikatz 变体(sekurlsa::logonpasswords)被用于凭据窃取。该变体移除了调试符号并使用间接系统调用来规避用户模式的 EDR 钩子。
加密机制
LockBit 4.0 使用间歇性加密:它不是加密整个文件,而是加密每个文件的每第 3 个扇区(512 字节)。与全文件加密相比,这实现了约 300% 的更快吞吐量,同时确保受害者数据完全丢失。文件会获得 .lb4 扩展名。
入侵指标
完整的指标细节请参见上方的 IOC 表。关键网络指标包括使用主题为 CN=Microsoft Update Service 的非标准 TLS 证书通过 443 端口向 185.220.101.47 发起的出站连接。文件系统指标包括在 C:\Windows\System32\ 之外存在 fontdrvhost.dll。
战术、技术与程序
完整的 TTP 分解请参见上方的 MITRE ATT&CK 矩阵。杀伤链从 VPN 漏洞利用 → PowerShell 分阶段加载器 → 服务持久化 → 凭据窃取 → RDP 横向移动 → 数据外泄 → 间歇性加密。
威胁行为者背景
LockBit 是一个自 2019 年以来一直活跃的勒索软件即服务(RaaS)组织。LockBit 4.0 是在 2024 年 2 月执法部门打击 LockBit 3.0 基础设施(Operation Cronos)之后的第四次主要迭代。该组织在数月内重组,通过暗网论坛招募新的附属机构。
基于与先前 LockBit 变体的代码相似性、重叠的 C2 基础设施以及勒索信格式,归因置信度为高。评估认为该组织在俄罗斯境内运作,并得到俄罗斯当局的容忍。
针对医疗保健行业与该组织既定的模式一致,即优先选择那些加密会立即危及生命安全的、压力巨大的行业。
检测与狩猎查询
Splunk — DLL 侧加载检测
index=endpoint sourcetype=sysmon EventCode=7
ImageLoaded="*\\fontdrvhost.dll"
NOT ImageLoaded="C:\\Windows\\System32\\*"
| stats count by ComputerName, Image, ImageLoaded, Signed, SignatureStatus
Splunk — 异常的 PowerShell 环境变量使用
index=endpoint sourcetype=sysmon EventCode=1
Image="*\\powershell.exe"
CommandLine="*FromBase64String*$env:*"
| stats count by ComputerName, User, CommandLine, ParentImage
关键日志源
- Windows Sysmon(事件 1, 7, 10, 11, 13)
- VPN 设备认证日志(失败 + 成功)
- 用于 LSASS 内存访问的 EDR 遥测数据
- 用于出站 TOR 出口节点 IP 的 NetFlow 数据
缓解措施与建议
立即行动(0–24 小时)
- 对所有 VPN 设备应用 CVE-2025-4821 和 CVE-2025-3301 补丁。
- 在防火墙上阻止到已知 TOR 出口节点的出站连接。
- 禁用不必要的 RDP 暴露;强制执行网络级身份验证。
- 搜寻
C:\Windows\System32\之外的fontdrvhost.dll。
短期行动(1–7 天)
- 强制执行 VPN 多因素身份验证。
- 部署应用程序控制规则,阻止从
C:\ProgramData\加载 DLL。 - 审查并限制服务账户权限。
- 验证 LSASS 保护设置(
RunAsPPL)。
长期行动
- 在临床和管理 VLAN 之间实施网络分段。
- 部署具有气隙副本的不可变备份解决方案。
- 针对医疗保健工作流程特有的勒索软件场景进行桌面推演。
参考资料
- CISA 紧急指令 ED-26-002:https://www.cisa.gov
- BleepingComputer LockBit 4.0 分析:https://www.bleepingcomputer.com
- MITRE ATT&CK LockBit 简介:https://attack.mitre.org/groups/G0075/
