LockBit 3.0 Ransomware Builder порождает множество новых вариантов

Выпуск сборщика программ-вымогателей LockBit 3.0 в прошлом году привел к тому, что злоумышленники злоупотребили этим инструментом для создания новых вариантов.

Исследователи из компании, занимающейся кибербезопасностью, заметили атаку программы-вымогателя с использованием версии LockBit, но с особым подходом к требованиям выкупа.

По словам исследователей безопасности, злоумышленник в этом инциденте выбрал другую записку о выкупе, в которой указан заголовок, связанный с неизвестной группой, называемой НАЦИОНАЛЬНЫМ АГЕНТСТВОМ ОПАСНОСТИ.

В обновленной записке о выкупе явно указана указанная оплата за доступ к ключам дешифрования и направлена связь на службу Tox и электронную почту. Группа LockBit, напротив, не называет сумму и использует собственную платформу для общения и переговоров.

NATIONAL HAZARD AGENCY — не единственная группа киберпреступников, использующая утекший в сеть сборщик LockBit 3.0. Среди других известных злоумышленников, использовавших его, — Bl00dy и Buhti.

В своих данных исследователи выявили в общей сложности 396 уникальных образцов LockBit, из которых 312 артефактов принадлежат утекшим в сеть сборщикам. Примерно в 77 образцах в записке о выкупе не было упоминания «LockBit».

Исследователи объяснили, что многие из обнаруженных параметров соответствуют конфигурации сборщика по умолчанию с лишь незначительными изменениями. Это говорит о том, что эти образцы, вероятно, были разработаны в срочных целях или менее старательными субъектами.

Почему код программы-вымогателя перерабатывается и переименовывается?

Это открытие совпадает с исследованием Нетенричем ADHUBLLKA, штамма программы-вымогателя, который с 2019 года претерпел несколько ребрендингов (BIT, LOLKEK, OBZ, U2K и TZW). Он нацелен на частных лиц и малый бизнес, требуя относительно небольших выплат — от 800 до 1600 долларов за жертву.

Хотя эти итерации демонстрируют небольшие различия в методах шифрования, записках о выкупе и методах связи, более тщательный анализ связывает их все с ADHUBLLKA из-за общего исходного кода и инфраструктуры.

Когда программа-вымогатель достигает успеха в дикой природе, киберпреступники часто используют одни и те же образцы программ-вымогателей, внося небольшие изменения в свою кодовую базу, для запуска других проектов, добавляют исследователи в области безопасности. Например, они могут изменить процесс шифрования, заметки о выкупе или каналы связи, а затем восстановить себя как «новую» программу-вымогатель.

Сфера программ-вымогателей постоянно развивается, стратегии и цели часто меняются, при этом все большее внимание уделяется средам Linux с использованием таких семейств, как Trigona, Monti и Akira. Последний демонстрирует связи с террористическими организациями, связанными с Конти.