Το LockBit 3.0 Ransomware Builder δημιουργεί πολλές νέες παραλλαγές

Η κυκλοφορία του προγράμματος δημιουργίας ransomware LockBit 3.0 πέρυσι είχε ως αποτέλεσμα οι φορείς απειλών να χρησιμοποιήσουν κατάχρηση του εργαλείου για να δημιουργήσουν νέες παραλλαγές.

Ερευνητές από μια εταιρεία κυβερνοασφάλειας παρατήρησαν μια επίθεση ransomware που αφορούσε μια έκδοση του LockBit, αλλά με μια ξεχωριστή προσέγγιση στις απαιτήσεις λύτρων.

Ο εισβολέας σε αυτό το περιστατικό επέλεξε ένα διαφορετικό σημείωμα λύτρων, με τίτλο που σχετίζεται με μια άγνωστη ομάδα, που αναφέρεται ως ΕΘΝΙΚΗ ΟΡΓΑΝΙΣΜΟΣ ΚΙΝΔΥΝΩΝ, σύμφωνα με ερευνητές ασφαλείας.

Το ενημερωμένο σημείωμα λύτρων υποδείκνυε ρητά την καθορισμένη πληρωμή για πρόσβαση σε κλειδιά αποκρυπτογράφησης και κατευθυνόμενη επικοινωνία σε υπηρεσία Tox και email. Αντίθετα, η ομάδα LockBit δεν αναφέρει το ποσό και χρησιμοποιεί τη δική της πλατφόρμα επικοινωνίας και διαπραγμάτευσης.

Η NATIONAL HAZARD AGENCY δεν είναι η μοναδική ομάδα κυβερνοεγκληματικότητας που χρησιμοποιεί το πρόγραμμα δημιουργίας LockBit 3.0 που διέρρευσε. Άλλοι γνωστοί ηθοποιοί απειλών που το έχουν χρησιμοποιήσει είναι οι Bl00dy και Buhti.

Οι ερευνητές εντόπισαν συνολικά 396 μοναδικά δείγματα LockBit στα δεδομένα τους, με 312 τεχνουργήματα να προέρχονται από τους κατασκευαστές που διέρρευσαν. Περίπου 77 δείγματα δεν είχαν καμία αναφορά του "LockBit" στο σημείωμα λύτρων.

Οι ερευνητές εξήγησαν ότι πολλές από τις παραμέτρους που εντοπίστηκαν ευθυγραμμίζονται με την προεπιλεγμένη διαμόρφωση του δημιουργού, με μικρές μόνο προσαρμογές. Αυτό υποδηλώνει ότι αυτά τα δείγματα αναπτύχθηκαν πιθανώς για επείγοντες σκοπούς ή από λιγότερο επιμελείς παράγοντες.

Γιατί ο κώδικας Ransomware ανακυκλώνεται και επαναπροσδιορίζεται;

Αυτή η αποκάλυψη συμπίπτει με την εξερεύνηση της Netenrich για το ADHUBLLKA, ένα στέλεχος ransomware που έχει υποστεί πολλές αλλαγές από το 2019 (BIT, LOLKEK, OBZ, U2K και TZW). Στοχεύει σε ιδιώτες και μικρές επιχειρήσεις, απαιτώντας σχετικά μικρές πληρωμές που κυμαίνονται από $800 έως $1.600 ανά θύμα.

Ενώ αυτές οι επαναλήψεις παρουσιάζουν μικρές παραλλαγές στις μεθόδους κρυπτογράφησης, τις σημειώσεις λύτρων και τις τεχνικές επικοινωνίας, μια πιο προσεκτική ανάλυση τις συνδέει όλες πίσω στο ADHUBLLKA λόγω κοινόχρηστου πηγαίου κώδικα και υποδομής.

Όταν ένα ransomware κερδίζει επιτυχία στη φύση, είναι σύνηθες να βλέπουμε κυβερνοεγκληματίες να ανακυκλώνουν τα ίδια δείγματα ransomware, κάνοντας μικρές τροποποιήσεις στη βάση κώδικα τους, για να ξεκινήσουν άλλα έργα, πρόσθεσαν ερευνητές ασφαλείας. Για παράδειγμα, μπορεί να αλλάξουν τη διαδικασία κρυπτογράφησης, τις σημειώσεις λύτρων ή τα κανάλια επικοινωνίας και στη συνέχεια να επαναδημιουργηθούν ως «νέο» ransomware.

Η σφαίρα του ransomware εξελίσσεται συνεχώς, με συχνές αλλαγές σε στρατηγικές και στόχους, με αυξανόμενη εστίαση σε περιβάλλοντα Linux που χρησιμοποιούν οικογένειες όπως οι Trigona, Monti και Akira. Το τελευταίο εμφανίζει συνδέσεις με παράγοντες απειλών που συνδέονται με Conti.