LockBit 3.0 Ransomware Builder skapar många nya varianter
Utgivningen av LockBit 3.0 ransomware-byggaren förra året resulterade i att hotaktörer missbrukade verktyget för att generera nya varianter.
Forskare från ett cybersäkerhetsföretag märkte en ransomware-attack som involverade en version av LockBit, men med en distinkt inställning till krav på lösen.
Angriparen i den här incidenten valde en annan lösennota, med en rubrik associerad med en okänd grupp, kallad NATIONAL HAZARD AGENCY, enligt säkerhetsforskare.
Den uppdaterade lösennotan angav uttryckligen den angivna betalningen för åtkomst till dekrypteringsnycklar och riktade kommunikation till en Tox-tjänst och e-post. Däremot nämner LockBit-gruppen inte beloppet och använder sin egen kommunikations- och förhandlingsplattform.
NATIONAL HAZARD AGENCY är inte den enda cyberkriminella gruppen som använder den läckta LockBit 3.0-byggaren. Andra kända hotaktörer som har använt det inkluderar Bl00dy och Buhti.
Forskarna identifierade totalt 396 unika LockBit-prover i sina data, med 312 artefakter som härrörde från de läckta byggarna. Cirka 77 prover saknade något omnämnande av "LockBit" i lösennotan.
Forskarna förklarade att många av de upptäckta parametrarna överensstämmer med byggarens standardkonfiguration, med endast mindre justeringar. Detta tyder på att dessa prover troligen har utvecklats för brådskande ändamål eller av mindre flitiga aktörer.
Varför ransomware-kod återvinns och ommärkes?
Denna avslöjande sammanfaller med Netenrichs utforskning av ADHUBLLKA, en ransomware-stam som har genomgått flera omprofileringar sedan 2019 (BIT, LOLKEK, OBZ, U2K och TZW). Den riktar sig till individer och småföretag och kräver relativt små utbetalningar från $800 till $1 600 per offer.
Även om dessa iterationer visar upp små variationer i krypteringsmetoder, lösensedlar och kommunikationstekniker, länkar en närmare analys dem alla tillbaka till ADHUBLLKA på grund av delad källkod och infrastruktur.
När ett ransomware vinner framgång i naturen är det vanligt att se cyberbrottslingar återvinna samma ransomware-prover, göra små justeringar av sin kodbas, för att starta andra projekt, tillade säkerhetsforskare. De kan till exempel ändra krypteringsprocessen, lösensedlar eller kommunikationskanaler och sedan återupprätta sig själva som en "ny" ransomware.
Ransomwares rike utvecklas konsekvent, med frekventa förändringar i strategier och mål, med ett växande fokus på Linux-miljöer som använder familjer som Trigona, Monti och Akira. Den senare uppvisar kopplingar till Conti-anslutna hotaktörer.
