LockBit 3.0 ランサムウェア ビルダーは多くの新しい亜種を生み出す
昨年の LockBit 3.0 ランサムウェア ビルダーのリリースにより、脅威アクターがこのツールを悪用して新しい亜種を生成する結果となりました。
サイバーセキュリティ会社の研究者は、LockBit のバージョンが関与しているが、身代金要求に対して独特のアプローチをとっているランサムウェア攻撃に気づきました。
セキュリティ研究者によると、この事件の攻撃者は、NATIONAL HAZARD AGENCYと呼ばれる未知のグループに関連する見出しを備えた別の身代金メモを選択しました。
更新された身代金メモには、復号キーにアクセスするための指定された支払いが明示されており、Tox サービスと電子メールへの通信が指示されていました。対照的に、LockBit グループは金額については言及しておらず、独自の通信および交渉プラットフォームを採用しています。
NATIONAL HAZARD AGENCY は、漏洩した LockBit 3.0 ビルダーを使用する唯一のサイバー犯罪グループではありません。これを利用した他の既知の脅威アクターには、Bl00dy や Buhti などがあります。
研究者らは、漏洩したビルダーに由来する 312 個のアーティファクトを含む、合計 396 個の固有の LockBit サンプルをデータ内で特定しました。約 77 個のサンプルには身代金メモに「LockBit」への言及がありませんでした。
研究者らは、検出されたパラメーターの多くは、わずかな調整だけで、ビルダーのデフォルト設定と一致していると説明しました。これは、これらのサンプルがおそらく緊急の目的で、またはそれほど勤勉ではない攻撃者によって開発されたことを示唆しています。
なぜランサムウェアのコードがリサイクルされ、ブランド名が変更されるのか?
この暴露は、2019 年以来いくつかのブランド変更が行われたランサムウェア株 (BIT、LOLKEK、OBZ、U2K、および TZW) である ADHUBLLKA に対する Netenrich の調査と同時に発生しました。個人と中小企業をターゲットにしており、被害者1人当たり800ドルから1,600ドルという比較的少額の支払いを要求している。
これらの繰り返しでは、暗号化方法、身代金メモ、および通信技術にわずかな違いが見られますが、より詳細な分析により、ソース コードとインフラストラクチャが共有されているため、それらはすべて ADHUBLLKA に関連付けられています。
ランサムウェアが実際に成功を収めると、サイバー犯罪者が同じランサムウェアのサンプルを再利用し、コードベースにわずかな調整を加えて他のプロジェクトを立ち上げるのがよく見られるとセキュリティ研究者は付け加えた。たとえば、暗号化プロセス、身代金メモ、通信チャネルを変更し、「新しい」ランサムウェアとして再構築する可能性があります。
ランサムウェアの分野は一貫して進化しており、戦略やターゲットが頻繁に変更されており、Trigona、Monti、Akira などのファミリーを使用する Linux 環境への注目が高まっています。後者は、Conti 関連の脅威アクターとのつながりを示しています。