Konstruktor oprogramowania ransomware LockBit 3.0 udostępnia wiele nowych wariantów

Wydanie w zeszłym roku narzędzia do tworzenia ransomware LockBit 3.0 spowodowało, że cyberprzestępcy wykorzystali to narzędzie do generowania nowych odmian.

Badacze z firmy zajmującej się cyberbezpieczeństwem zauważyli atak ransomware z wykorzystaniem wersji LockBit, ale z odmiennym podejściem do żądań okupu.

Według badaczy bezpieczeństwa osoba atakująca w tym incydencie zdecydowała się na inną notatkę z żądaniem okupu, zawierającą nagłówek powiązany z nieznaną grupą, określaną jako NATIONAL HAZARD AGENCY.

Zaktualizowana notatka o okupie wyraźnie wskazywała określoną opłatę za dostęp do kluczy deszyfrujących i kierowała komunikację do serwisu Tox i poczty elektronicznej. Natomiast grupa LockBit nie podaje kwoty, posługując się własną platformą komunikacyjno-negocjacyjną.

NATIONAL HAZARD AGENCY nie jest jedyną grupą cyberprzestępczą korzystającą z narzędzia do tworzenia oprogramowania LockBit 3.0, które wyciekło. Inne znane ugrupowania zagrażające, które go wykorzystały, to Bl00dy i Buhti.

Badacze zidentyfikowali w swoich danych łącznie 396 unikalnych próbek LockBit, z czego 312 artefaktów pochodziło od konstruktorów, którzy wyciekli. W przypadku około 77 próbek w żądaniu okupu nie było żadnej wzmianki o „LockBit”.

Naukowcy wyjaśnili, że wiele wykrytych parametrów jest zgodnych z domyślną konfiguracją konstruktora, z niewielkimi zmianami. Sugeruje to, że próbki te zostały prawdopodobnie opracowane w pilnych celach lub przez mniej sumienne podmioty.

Dlaczego kod ransomware zostaje poddany recyklingowi i przemianowany?

Odkrycie to zbiega się z badaniami firmy Netenrich nad ADHUBLLKA, odmianą oprogramowania ransomware, która od 2019 r. przeszła kilka rebrandingów (BIT, LOLKEK, OBZ, U2K i TZW). Jest skierowany do osób fizycznych i małych firm i żąda stosunkowo niewielkich wypłat, od 800 do 1600 dolarów na ofiarę.

Chociaż te iteracje wykazują niewielkie różnice w metodach szyfrowania, żądaniach okupu i technikach komunikacji, bliższa analiza łączy je wszystkie z powrotem z ADHUBLLKA ze względu na wspólny kod źródłowy i infrastrukturę.

Kiedy oprogramowanie ransomware odnosi sukces w środowisku naturalnym, cyberprzestępcy często wykorzystują te same próbki oprogramowania ransomware, dokonując niewielkich modyfikacji w swoim kodzie, aby uruchomić inne projekty – dodali badacze bezpieczeństwa. Na przykład mogą zmienić proces szyfrowania, żądanie okupu lub kanały komunikacji, a następnie ponownie stać się „nowym” oprogramowaniem ransomware.

Sfera oprogramowania ransomware stale się rozwija, charakteryzując się częstymi zmianami strategii i celów, przy coraz większym nacisku na środowiska Linux korzystające z rodzin takich jak Trigona, Monti i Akira. Ten ostatni wykazuje powiązania z ugrupowaniami zagrażającymi stowarzyszonymi z Conti.