LockBit 3.0 Ransomware Builder génère de nombreuses nouvelles variantes

La sortie du générateur de ransomware LockBit 3.0 l’année dernière a conduit les acteurs malveillants à utiliser l’outil à mauvais escient pour générer de nouvelles variantes.

Des chercheurs d'une société de cybersécurité ont remarqué une attaque de ransomware impliquant une version de LockBit, mais avec une approche différente des demandes de rançon.

L'attaquant dans cet incident a opté pour une demande de rançon différente, comportant un titre associé à un groupe inconnu, appelé NATIONAL HAZARD AGENCY, selon les chercheurs en sécurité.

La demande de rançon mise à jour indiquait explicitement le paiement spécifié pour l'accès aux clés de décryptage et dirigeait la communication vers un service Tox et un courrier électronique. En revanche, le groupe LockBit ne mentionne pas le montant et dispose de sa propre plateforme de communication et de négociation.

NATIONAL HAZARD AGENCY n'est pas le seul groupe de cybercriminels à utiliser le constructeur LockBit 3.0 divulgué. Parmi les autres acteurs malveillants connus qui l'ont utilisé figurent Bl00dy et Buhti.

Les chercheurs ont identifié un total de 396 échantillons LockBit uniques dans leurs données, dont 312 artefacts provenant des constructeurs divulgués. Environ 77 échantillons ne faisaient aucune mention de « LockBit » dans la demande de rançon.

Les chercheurs ont expliqué que de nombreux paramètres détectés correspondent à la configuration par défaut du constructeur, avec seulement des ajustements mineurs. Cela suggère que ces échantillons ont probablement été développés à des fins urgentes ou par des acteurs moins diligents.

Pourquoi le code Ransomware est-il recyclé et renommé ?

Cette révélation coïncide avec l'exploration par Netenrich d'ADHUBLLKA, une souche de ransomware qui a subi plusieurs changements de nom depuis 2019 (BIT, LOLKEK, OBZ, U2K et TZW). Il cible les particuliers et les petites entreprises, exigeant des indemnités relativement modestes, allant de 800 à 1 600 dollars par victime.

Bien que ces itérations présentent de légères variations dans les méthodes de cryptage, les demandes de rançon et les techniques de communication, une analyse plus approfondie les relie toutes à ADHUBLLKA en raison du code source et de l'infrastructure partagés.

Lorsqu'un ransomware connaît du succès, il est courant de voir des cybercriminels recycler les mêmes échantillons de ransomware, en apportant de légères modifications à leur base de code, pour lancer d'autres projets, ont ajouté des chercheurs en sécurité. Par exemple, ils peuvent modifier le processus de cryptage, les demandes de rançon ou les canaux de communication, puis se rétablir en tant que « nouveau » ransomware.

Le domaine des ransomwares évolue constamment, avec des changements fréquents de stratégies et de cibles, avec un accent croissant sur les environnements Linux utilisant des familles comme Trigona, Monti et Akira. Ce dernier présente des liens avec des acteurs menaçants affiliés à Conti.