LockBit 3.0 Ransomware Builder skaber mange nye varianter

Frigivelsen af LockBit 3.0 ransomware builder sidste år resulterede i, at trusselsaktører misbrugte værktøjet til at generere nye variationer.

Forskere fra et cybersikkerhedsfirma bemærkede et ransomware-angreb, der involverede en version af LockBit, men med en særskilt tilgang til krav om løsesum.

Angriberen i denne hændelse valgte en anden løsesumseddel, med en overskrift forbundet med en ukendt gruppe, omtalt som NATIONAL HAZARD AGENCY, ifølge sikkerhedsforskere.

Den opdaterede løsesumseddel indikerede eksplicit den angivne betaling for adgang til dekrypteringsnøgler og dirigerede kommunikation til en Tox-tjeneste og e-mail. I modsætning hertil nævner LockBit-gruppen ikke beløbet og anvender sin egen kommunikations- og forhandlingsplatform.

NATIONAL HAZARD AGENCY er ikke den eneste cyberkriminelle gruppe, der bruger den lækkede LockBit 3.0-builder. Andre kendte trusselsaktører, der har brugt det, inkluderer Bl00dy og Buhti.

Forskerne identificerede i alt 396 unikke LockBit-prøver i deres data, med 312 artefakter, der stammer fra de lækkede bygherrer. Cirka 77 prøver manglede nogen omtale af "LockBit" i løsesumsedlen.

Forskerne forklarede, at mange af de detekterede parametre stemmer overens med bygherrens standardkonfiguration med kun mindre justeringer. Dette tyder på, at disse prøver sandsynligvis er udviklet til presserende formål eller af mindre flittige aktører.

Hvorfor bliver Ransomware-kode genbrugt og omdannet?

Denne afsløring falder sammen med Netenrichs udforskning af ADHUBLLKA, en ransomware-stamme, der har gennemgået adskillige rebrandings siden 2019 (BIT, LOLKEK, OBZ, U2K og TZW). Den er rettet mod enkeltpersoner og små virksomheder og kræver relativt små udbetalinger, der spænder fra $800 til $1.600 pr. offer.

Selvom disse iterationer viser små variationer i krypteringsmetoder, løsepenge og kommunikationsteknikker, forbinder en nærmere analyse dem alle tilbage til ADHUBLLKA på grund af delt kildekode og infrastruktur.

Når en ransomware vinder succes i naturen, er det almindeligt at se cyberkriminelle genbruge de samme ransomware-prøver og lave små justeringer af deres kodebase for at starte andre projekter, tilføjede sikkerhedsforskere. For eksempel kan de ændre krypteringsprocessen, løsesumsedler eller kommunikationskanaler og derefter genetablere sig selv som en 'ny' løsesumware.

Ransomware-området udvikler sig konstant og byder på hyppige ændringer i strategier og mål, med et voksende fokus på Linux-miljøer, der bruger familier som Trigona, Monti og Akira. Sidstnævnte udviser forbindelser til Conti-tilknyttede trusselsaktører.