LockBit 3.0 Ransomware Builder gera muitas novas variantes

O lançamento do construtor de ransomware LockBit 3.0 no ano passado resultou no uso indevido da ferramenta por agentes de ameaças para gerar novas variações.

Pesquisadores de uma empresa de segurança cibernética notaram um ataque de ransomware envolvendo uma versão do LockBit, mas com uma abordagem distinta para pedidos de resgate.

O invasor neste incidente optou por uma nota de resgate diferente, apresentando um título associado a um grupo desconhecido, conhecido como AGÊNCIA NACIONAL DE RISCOS, de acordo com pesquisadores de segurança.

A nota de resgate atualizada indicava explicitamente o pagamento especificado para acessar as chaves de descriptografia e direcionava a comunicação para um serviço Tox e e-mail. Em contrapartida, o grupo LockBit não menciona o valor e utiliza plataforma própria de comunicação e negociação.

A NATIONAL HAZARD AGENCY não é o único grupo cibercriminoso que usa o construtor LockBit 3.0 que vazou. Outros atores de ameaças conhecidos que o utilizaram incluem Bl00dy e Buhti.

Os pesquisadores identificaram um total de 396 amostras exclusivas de LockBit em seus dados, com 312 artefatos originados dos construtores vazados. Aproximadamente 77 amostras não continham qualquer menção a “LockBit” na nota de resgate.

Os pesquisadores explicaram que muitos dos parâmetros detectados estão alinhados com a configuração padrão do construtor, com apenas pequenos ajustes. Isto sugere que estas amostras foram provavelmente desenvolvidas para fins urgentes ou por intervenientes menos diligentes.

Por que o código do ransomware é reciclado e renomeado?

Esta revelação coincide com a exploração do ADHUBLLKA pela Netenrich, uma variedade de ransomware que passou por várias rebrandings desde 2019 (BIT, LOLKEK, OBZ, U2K e TZW). Tem como alvo indivíduos e pequenas empresas, exigindo pagamentos relativamente pequenos, variando de US$ 800 a US$ 1.600 por vítima.

Embora essas iterações apresentem pequenas variações nos métodos de criptografia, notas de resgate e técnicas de comunicação, uma análise mais detalhada vincula todos eles de volta ao ADHUBLLKA devido ao código-fonte e à infraestrutura compartilhados.

Quando um ransomware obtém sucesso na natureza, é comum ver os cibercriminosos reciclarem as mesmas amostras de ransomware, fazendo pequenos ajustes em sua base de código, para lançar outros projetos, acrescentaram pesquisadores de segurança. Por exemplo, podem alterar o processo de encriptação, as notas de resgate ou os canais de comunicação e, em seguida, restabelecer-se como um 'novo' ransomware.

O domínio do ransomware está evoluindo consistentemente, apresentando mudanças frequentes em estratégias e alvos, com foco crescente em ambientes Linux que usam famílias como Trigona, Monti e Akira. Este último exibe conexões com atores de ameaças afiliados à Conti.