LockBit 3.0 Ransomware Builder brengt veel nieuwe varianten voort
De release van de LockBit 3.0-ransomwarebouwer vorig jaar had tot gevolg dat bedreigingsactoren de tool misbruikten om nieuwe varianten te genereren.
Onderzoekers van een cyberbeveiligingsbedrijf merkten een ransomware-aanval op waarbij een versie van LockBit betrokken was, maar met een aparte benadering van losgeldeisen.
Volgens beveiligingsonderzoekers heeft de aanvaller bij dit incident gekozen voor een ander losgeldbriefje, met een kop die verband houdt met een onbekende groep, ook wel NATIONAL HAZARD AGENCY genoemd.
De bijgewerkte losgeldbrief vermeldde expliciet de gespecificeerde betaling voor toegang tot decoderingssleutels en gerichte communicatie naar een Tox-service en e-mail. De LockBit-groep vermeldt daarentegen het bedrag niet en gebruikt een eigen communicatie- en onderhandelingsplatform.
NATIONAL HAZARD AGENCY is niet de enige cybercriminele groep die de gelekte LockBit 3.0-builder gebruikt. Andere bekende bedreigingsactoren die er gebruik van hebben gemaakt, zijn onder meer Bl00dy en Buhti.
De onderzoekers identificeerden in hun gegevens in totaal 396 unieke LockBit-monsters, waarvan 312 artefacten afkomstig waren van de gelekte bouwers. Bij ongeveer 77 monsters ontbrak enige vermelding van "LockBit" in het losgeldbriefje.
De onderzoekers legden uit dat veel van de gedetecteerde parameters overeenkomen met de standaardconfiguratie van de bouwer, met slechts kleine aanpassingen. Dit suggereert dat deze monsters waarschijnlijk zijn ontwikkeld voor urgente doeleinden of door minder ijverige actoren.
Waarom wordt ransomware-code gerecycled en van een nieuwe merknaam voorzien?
Deze onthulling valt samen met Netenrichs onderzoek naar ADHUBLLKA, een ransomware-variant die sinds 2019 verschillende rebrandings heeft ondergaan (BIT, LOLKEK, OBZ, U2K en TZW). Het richt zich op individuen en kleine bedrijven en eist relatief kleine uitbetalingen, variërend van $800 tot $1.600 per slachtoffer.
Hoewel deze iteraties kleine variaties in versleutelingsmethoden, losgeldbrieven en communicatietechnieken laten zien, koppelt een nadere analyse ze allemaal terug aan ADHUBLLKA vanwege gedeelde broncode en infrastructuur.
Wanneer een ransomware in het wild succes boekt, is het gebruikelijk dat cybercriminelen dezelfde ransomware-samples recyclen, waarbij ze kleine aanpassingen aan hun codebasis maken, om andere projecten te lanceren, aldus beveiligingsonderzoekers. Ze kunnen bijvoorbeeld het versleutelingsproces, de losgeldbriefjes of de communicatiekanalen wijzigen en zichzelf vervolgens opnieuw als een 'nieuwe' ransomware vestigen.
Het rijk van ransomware evolueert voortdurend, met frequente veranderingen in strategieën en doelen, met een groeiende focus op Linux-omgevingen die gebruik maken van families als Trigona, Monti en Akira. Deze laatste vertoont verbindingen met aan Conti gelieerde dreigingsactoren.
