LockBit 3.0 Ransomware Builder genera molte nuove varianti
Il rilascio del builder ransomware LockBit 3.0 lo scorso anno ha portato gli autori delle minacce a utilizzare in modo improprio lo strumento per generare nuove varianti.
I ricercatori di una società di sicurezza informatica hanno notato un attacco ransomware che coinvolgeva una versione di LockBit, ma con un approccio distinto alle richieste di riscatto.
L'aggressore in questo incidente ha optato per una richiesta di riscatto diversa, caratterizzata da un'intestazione associata a un gruppo sconosciuto, denominato NATIONAL HAZARD AGENCY, secondo i ricercatori di sicurezza.
La richiesta di riscatto aggiornata indicava esplicitamente il pagamento specificato per l'accesso alle chiavi di decrittazione e indirizzava la comunicazione a un servizio Tox e a un'e-mail. Il gruppo LockBit, invece, non menziona l'importo e utilizza una propria piattaforma di comunicazione e negoziazione.
La NATIONAL HAZARD AGENCY non è l'unico gruppo di criminali informatici che utilizza il builder LockBit 3.0 trapelato. Altri noti autori di minacce che lo hanno utilizzato includono Bl00dy e Buhti.
I ricercatori hanno identificato un totale di 396 campioni LockBit unici nei loro dati, con 312 artefatti provenienti dai costruttori trapelati. Circa 77 campioni non contenevano alcuna menzione di "LockBit" nella richiesta di riscatto.
I ricercatori hanno spiegato che molti dei parametri rilevati si allineano con la configurazione predefinita del costruttore, con solo piccole modifiche. Ciò suggerisce che questi campioni siano stati probabilmente sviluppati per scopi urgenti o da attori meno diligenti.
Perché il codice ransomware viene riciclato e rinominato?
Questa rivelazione coincide con l'esplorazione da parte di Netenrich di ADHUBLLKA, un ceppo di ransomware che ha subito diversi rebranding dal 2019 (BIT, LOLKEK, OBZ, U2K e TZW). Si rivolge a privati e piccole imprese, richiedendo pagamenti relativamente piccoli che vanno da $ 800 a $ 1.600 per vittima.
Sebbene queste iterazioni mostrino lievi variazioni nei metodi di crittografia, nelle richieste di riscatto e nelle tecniche di comunicazione, un'analisi più attenta le collega tutte ad ADHUBLLKA a causa del codice sorgente e dell'infrastruttura condivisi.
Quando un ransomware ottiene successo in circolazione, è comune vedere i criminali informatici riciclare gli stessi campioni di ransomware, apportando lievi modifiche alla loro base di codice, per lanciare altri progetti, hanno aggiunto i ricercatori di sicurezza. Ad esempio, potrebbero alterare il processo di crittografia, le richieste di riscatto o i canali di comunicazione, per poi riaffermarsi come un "nuovo" ransomware.
Il regno del ransomware è in continua evoluzione, caratterizzato da frequenti cambiamenti nelle strategie e negli obiettivi, con una crescente attenzione agli ambienti Linux che utilizzano famiglie come Trigona, Monti e Akira. Quest’ultimo mostra collegamenti con autori di minacce affiliati a Conti.
