LockBit 3.0 Ransomware Builder skaper mange nye varianter

Utgivelsen av LockBit 3.0 løsepengevarebyggeren i fjor resulterte i at trusselaktører misbrukte verktøyet for å generere nye variasjoner.

Forskere fra et cybersikkerhetsselskap la merke til et løsepengeangrep som involverte en versjon av LockBit, men med en distinkt tilnærming til krav om løsepenger.

Angriperen i denne hendelsen valgte en annen løsepenger, med en overskrift knyttet til en ukjent gruppe, referert til som NATIONAL HAZARD AGENCY, ifølge sikkerhetsforskere.

Den oppdaterte løsepengenotaen indikerte eksplisitt den spesifiserte betalingen for tilgang til dekrypteringsnøkler og rettet kommunikasjon til en Tox-tjeneste og e-post. Derimot nevner ikke LockBit-gruppen beløpet og bruker sin egen kommunikasjons- og forhandlingsplattform.

NATIONAL HAZARD AGENCY er ikke den eneste nettkriminelle gruppen som bruker den lekkede LockBit 3.0-byggeren. Andre kjente trusselaktører som har brukt det inkluderer Bl00dy og Buhti.

Forskerne identifiserte totalt 396 unike LockBit-prøver i dataene deres, med 312 artefakter som stammer fra de lekkede byggherrene. Omtrent 77 prøver manglet noen omtale av "LockBit" i løsepengene.

Forskerne forklarte at mange av de oppdagede parameterne stemmer overens med byggherrens standardkonfigurasjon, med bare mindre justeringer. Dette tyder på at disse prøvene sannsynligvis ble utviklet for presserende formål eller av mindre flittige aktører.

Hvorfor ransomware-kode blir resirkulert og rebranded?

Denne avsløringen faller sammen med Netenrichs utforskning av ADHUBLLKA, en løsepengevarestamme som har gjennomgått flere rebrandings siden 2019 (BIT, LOLKEK, OBZ, U2K og TZW). Den retter seg mot enkeltpersoner og små bedrifter, og krever relativt små utbetalinger fra $800 til $1600 per offer.

Mens disse iterasjonene viser små variasjoner i krypteringsmetoder, løsepenger og kommunikasjonsteknikker, knytter en nærmere analyse dem alle tilbake til ADHUBLLKA på grunn av delt kildekode og infrastruktur.

Når en løsepengevare oppnår suksess i naturen, er det vanlig å se nettkriminelle resirkulere de samme løsepengevareprøvene, foreta små justeringer av kodebasen deres, for å starte andre prosjekter, la sikkerhetsforskere til. For eksempel kan de endre krypteringsprosessen, løsepenger eller kommunikasjonskanaler, og deretter gjenopprette seg som en "ny" løsepengevare.

Riket for løsepengevare er i konstant utvikling, med hyppige endringer i strategier og mål, med et økende fokus på Linux-miljøer som bruker familier som Trigona, Monti og Akira. Sistnevnte viser forbindelser til Conti-tilknyttede trusselaktører.