LockBit 3.0 Ransomware Builder genera muchas variantes nuevas

El lanzamiento del creador de ransomware LockBit 3.0 el año pasado provocó que los actores de amenazas hicieran un mal uso de la herramienta para generar nuevas variaciones.

Los investigadores de una empresa de ciberseguridad notaron un ataque de ransomware que involucraba una versión de LockBit, pero con un enfoque distinto a las demandas de rescate.

El atacante en este incidente optó por una nota de rescate diferente, que presentaba un encabezado asociado con un grupo desconocido, denominado AGENCIA NACIONAL DE PELIGROS, según investigadores de seguridad.

La nota de rescate actualizada indicaba explícitamente el pago especificado por acceder a las claves de descifrado y dirigía la comunicación a un servicio Tox y un correo electrónico. El grupo LockBit, por el contrario, no indica el importe y utiliza su propia plataforma de comunicación y negociación.

NATIONAL HAZARD AGENCY no es el único grupo cibercriminal que utiliza el constructor LockBit 3.0 filtrado. Otros actores de amenazas conocidos que lo han utilizado incluyen a Bl00dy y Buhti.

Los investigadores identificaron un total de 396 muestras únicas de LockBit en sus datos, con 312 artefactos provenientes de los constructores filtrados. Aproximadamente 77 muestras no contenían ninguna mención de "LockBit" en la nota de rescate.

Los investigadores explicaron que muchos de los parámetros detectados se alinean con la configuración predeterminada del constructor, con sólo ajustes menores. Esto sugiere que estas muestras probablemente fueron desarrolladas con fines urgentes o por actores menos diligentes.

¿Por qué el código de ransomware se recicla y se renombra?

Esta revelación coincide con la exploración de Netenrich de ADHUBLLKA, una cepa de ransomware que ha sufrido varios cambios de nombre desde 2019 (BIT, LOLKEK, OBZ, U2K y TZW). Está dirigido a individuos y pequeñas empresas, y exige pagos relativamente pequeños que oscilan entre 800 y 1.600 dólares por víctima.

Si bien estas iteraciones muestran ligeras variaciones en los métodos de cifrado, notas de rescate y técnicas de comunicación, un análisis más detallado los vincula a todos con ADHUBLLKA debido al código fuente y la infraestructura compartidos.

Cuando un ransomware tiene éxito en la naturaleza, es común ver a los ciberdelincuentes reciclar las mismas muestras de ransomware, realizando ligeros ajustes en su código base, para lanzar otros proyectos, agregaron los investigadores de seguridad. Por ejemplo, podrían alterar el proceso de cifrado, las notas de rescate o los canales de comunicación y luego restablecerse como un "nuevo" ransomware.

El ámbito del ransomware evoluciona constantemente y presenta cambios frecuentes en estrategias y objetivos, con un enfoque cada vez mayor en entornos Linux que utilizan familias como Trigona, Monti y Akira. Este último muestra conexiones con actores de amenazas afiliados a Conti.