LockBit 3.0 Ransomware Builder sukuria daug naujų variantų

Praėjusiais metais išleidus „LockBit 3.0“ išpirkos reikalaujančių programų kūrėją, grėsmės veikėjai netinkamai naudojo įrankį, kad sukurtų naujus variantus.

Kibernetinio saugumo bendrovės tyrėjai pastebėjo išpirkos reikalaujančios programinės įrangos ataką, susijusią su LockBit versija, tačiau su skirtingu požiūriu į išpirkos reikalavimus.

Saugumo tyrėjų teigimu, šio incidento užpuolikas pasirinko kitą išpirkos raštelį, kuriame buvo nurodyta antraštė, susijusi su nežinoma grupe, vadinama NACIONALINĖ PAVOJŲ AGENTŪRA.

Atnaujintame išpirkos rašte buvo aiškiai nurodytas nurodytas mokėjimas už prieigą prie iššifravimo raktų ir nukreiptas ryšys su Tox tarnyba ir el. Priešingai, „LockBit“ grupė nemini sumos ir naudoja savo komunikacijos ir derybų platformą.

NACIONALINĖ PAVOJŲ AGENTŪRA nėra vienintelė kibernetinių nusikaltėlių grupė, naudojanti nutekintą „LockBit 3.0“ kūrėją. Kiti žinomi grėsmės veikėjai, kurie jį naudojo, yra Bl00dy ir Buhti.

Tyrėjai savo duomenyse iš viso nustatė 396 unikalius LockBit pavyzdžius, iš kurių 312 artefaktų atsirado iš nutekėjusių statybininkų. Maždaug 77 mėginiuose išpirkos raštelyje nebuvo paminėta „LockBit“.

Tyrėjai paaiškino, kad daugelis aptiktų parametrų atitinka numatytąją kūrėjo konfigūraciją, atlikus tik nedidelius pakeitimus. Tai rodo, kad šie pavyzdžiai tikriausiai buvo sukurti skubiems tikslams arba mažiau stropių veikėjų.

Kodėl „Ransomware“ kodas perdirbamas ir keičiamas prekės ženklas?

Šis apreiškimas sutampa su Netenricho tyrinėjimu ADHUBLLKA – išpirkos reikalaujančios programinės įrangos paderme, kuri nuo 2019 m. buvo keletą kartų pakeista (BIT, LOLKEK, OBZ, U2K ir TZW). Jis skirtas asmenims ir mažoms įmonėms, reikalaujant palyginti nedidelių išmokų, nuo 800 iki 1600 USD už auką.

Nors šios iteracijos demonstruoja nedidelius šifravimo metodų, išpirkos užrašų ir komunikacijos metodų skirtumus, atidesnė analizė juos visus susieja su ADHUBLLKA dėl bendro šaltinio kodo ir infrastruktūros.

Kai išpirkos reikalaujanti programinė įranga sulaukia sėkmės laukinėje gamtoje, įprasta matyti, kad kibernetiniai nusikaltėliai perdirba tuos pačius išpirkos reikalaujančių programų pavyzdžius, šiek tiek patobulindami savo kodų bazę, kad galėtų pradėti kitus projektus, pridūrė saugumo tyrinėtojai. Pavyzdžiui, jie gali pakeisti šifravimo procesą, išpirkos raštelius ar ryšio kanalus, o tada atkurti save kaip „naują“ išpirkos reikalaujančią programinę įrangą.

Išpirkos reikalaujančių programų sritis nuosekliai vystosi, dažnai keičiasi strategijos ir tikslai, vis daugiau dėmesio skiriant Linux aplinkoms, kuriose naudojamos tokios šeimos kaip Trigona, Monti ir Akira. Pastarasis rodo ryšius su Conti susijusiais grėsmės veikėjais.