A LockBit 3.0 Ransomware Builder számos új változatot kínál

A LockBit 3.0 ransomware builder tavalyi kiadása azt eredményezte, hogy a fenyegetés szereplői visszaéltek az eszközzel új változatok generálására.

Egy kiberbiztonsági cég kutatói egy zsarolóprogram-támadásra figyeltek fel, amely a LockBit egy verzióját érintette, de a váltságdíj követeléseinek eltérő megközelítésével.

A támadó ebben az incidensben egy másik váltságdíjat választott, amelyen egy ismeretlen csoporthoz kapcsolódó címsor volt, a biztonsági kutatók szerint NEMZETI VESZÉLYÜGYISÉG.

A frissített váltságdíjról szóló feljegyzés kifejezetten jelezte a visszafejtési kulcsokhoz való hozzáférésért, valamint a Tox-szolgáltatáshoz és e-mailhez irányított kommunikációt. Ezzel szemben a LockBit csoport nem említi az összeget, és saját kommunikációs és tárgyalási platformot alkalmaz.

A NATIONAL HAZARD AGENCY nem az egyetlen kiberbûnözõ csoport, amely a kiszivárgott LockBit 3.0 építõt használja. Más ismert fenyegetés szereplők, akik használták, többek között a Bl00dy és a Buhti.

A kutatók adataik között összesen 396 egyedi LockBit mintát azonosítottak, amelyek közül 312 műtermék származott a kiszivárgott építőktől. Körülbelül 77 mintánál nem szerepelt a „LockBit” szó a váltságdíjról szóló értesítésben.

A kutatók elmagyarázták, hogy sok észlelt paraméter igazodik az építő alapértelmezett konfigurációjához, csak kisebb módosításokkal. Ez arra utal, hogy ezeket a mintákat valószínűleg sürgős célokra, vagy kevésbé szorgalmas szereplők fejlesztették ki.

Miért kerül újrahasznosításra és új márkanévre a Ransomware kód?

Ez a feltárás egybeesik Netenrich feltárásával az ADHUBLLKA-ról, egy zsarolóvírus-törzsről, amely 2019 óta számos márkaváltáson esett át (BIT, LOLKEK, OBZ, U2K és TZW). Magánszemélyeket és kisvállalkozásokat céloz meg, áldozatonként 800 és 1600 dollár közötti, viszonylag kis kifizetéseket követelve.

Míg ezek az iterációk a titkosítási módszerek, a váltságdíj feljegyzések és a kommunikációs technikák enyhe eltéréseit mutatják be, egy alaposabb elemzés mindezt az ADHUBLLKA-hoz kapcsolja a megosztott forráskód és infrastruktúra miatt.

Amikor egy zsarolóprogram sikert arat a vadonban, gyakran előfordul, hogy a kiberbűnözők ugyanazokat a zsarolóprogram-mintákat hasznosítják újra, és apró módosításokat végeznek a kódbázisukon, hogy más projekteket indítsanak el – tették hozzá a biztonsági kutatók. Például megváltoztathatják a titkosítási folyamatot, a váltságdíj-jegyzeteket vagy a kommunikációs csatornákat, majd újra létrehozhatják magukat „új” zsarolóvírusként.

A zsarolóvírusok birodalma folyamatosan fejlődik, és gyakran változnak a stratégiák és a célok, egyre nagyobb hangsúlyt fektetve a Linux környezetekre, amelyek olyan családokat használnak, mint a Trigona, a Monti és az Akira. Ez utóbbi kapcsolatokat mutat a Conti-hoz kötődő fenyegetés szereplőivel.