LockBit 3.0 勒索软件生成器衍生出许多新变种

去年发布的 LockBit 3.0 勒索软件构建器导致威胁行为者滥用该工具生成新的变体。

一家网络安全公司的研究人员注意到一次涉及 LockBit 版本的勒索软件攻击，但针对勒索要求的方式却截然不同。

据安全研究人员称，本次事件中的攻击者选择了不同的勒索信，其标题与未知组织（称为“国家危险机构”）相关。

更新后的勒索字条明确指出了访问解密密钥的指定付款，以及与 Tox 服务和电子邮件的直接通信。相比之下，LockBit集团没有提及具体金额，并使用自己的沟通和谈判平台。

NATIONAL HAZARD AGENCY 并不是唯一使用泄露的 LockBit 3.0 构建器的网络犯罪组织。其他已知的利用过它的威胁行为者包括 Bl00dy 和 Buhti。

研究人员在其数据中总共识别出了 396 个独特的 LockBit 样本，其中 312 个工件来自泄露的构建者。大约 77 个样本在勒索信中没有提及“LockBit”。

研究人员解释说，许多检测到的参数与构建器的默认配置一致，只需进行微小的调整。这表明这些样本可能是出于紧急目的或由不太勤奋的参与者开发的。

为什么勒索软件代码会被回收并重新命名？

这一发现与 Netenrich 对 ADHUBLLKA 的探索不谋而合，ADHUBLLKA 是一种勒索软件病毒，自 2019 年以来已经历多次品牌重塑（BIT、LOLCEK、OBZ、U2K 和 TZW）。它针对个人和小型企业，要求每位受害者支付相对较小的赔偿金，从 800 美元到 1,600 美元不等。

虽然这些迭代在加密方法、勒索票据和通信技术方面略有不同，但由于共享源代码和基础设施，更仔细的分析将它们全部链接回 ADHUBLLKA。

安全研究人员补充说，当勒索软件在野外取得成功时，网络犯罪分子通常会回收相同的勒索软件样本，对其代码库进行轻微调整，以启动其他项目。例如，他们可能会更改加密过程、勒索记录或通信渠道，然后将自己重新构建为“新”勒索软件。

勒索软件领域不断发展，其策略和目标频繁变化，并且越来越关注使用 Trigona、Monti 和 Akira 等家族的 Linux 环境。后者表现出与大陆集团附属威胁行为者的联系。