LockBit 3.0 勒索軟件生成器催生許多新變種

去年發布的 LockBit 3.0 勒索軟件構建器導致威脅行為者濫用該工俱生成新的變體。

一家網絡安全公司的研究人員注意到一次涉及 LockBit 版本的勒索軟件攻擊，但針對勒索要求的方式卻截然不同。

據安全研究人員稱，這起事件中的攻擊者選擇了不同的勒索信，其標題與未知組織（稱為“國家危險機構”）相關。

更新後的勒索字條明確指出了訪問解密密鑰的指定付款，以及與 Tox 服務和電子郵件的直接通信。相比之下，LockBit集團沒有提及具體金額，並使用自己的溝通和談判平台。

NATIONAL HAZARD AGENCY 並不是唯一使用洩露的 LockBit 3.0 構建器的網絡犯罪組織。其他已知的利用過它的威脅行為者包括 Bl00dy 和 Buhti。

研究人員在其數據中總共識別出了 396 個獨特的 LockBit 樣本，其中 312 個工件來自洩露的構建者。大約 77 個樣本在勒索信中沒有提及“LockBit”。

研究人員解釋說，許多檢測到的參數與構建器的默認配置一致，只需進行微小的調整。這表明這些樣本可能是出於緊急目的或由不太勤奮的參與者開發的。

為什麼勒索軟件代碼會被回收並重新命名？

這一發現與 Netenrich 對 ADHUBLLKA 的探索不謀而合，ADHUBLLKA 是一種勒索軟件病毒，自 2019 年以來已經歷多次品牌重塑（BIT、LOLKEK、OBZ、U2K 和 TZW）。它針對個人和小型企業，要求每位受害者支付相對較小的賠償金，從 800 美元到 1,600 美元不等。

雖然這些迭代在加密方法、勒索票據和通信技術方面略有不同，但由於共享源代碼和基礎設施，更仔細的分析將它們全部鏈接回 ADHUBLLKA。

安全研究人員補充說，當勒索軟件在野外取得成功時，網絡犯罪分子通常會回收相同的勒索軟件樣本，對其代碼庫進行輕微調整，以啟動其他項目。例如，他們可能會更改加密過程、勒索記錄或通信渠道，然後將自己重新構建為“新”勒索軟件。

勒索軟件領域不斷發展，其策略和目標頻繁變化，並且越來越關注使用 Trigona、Monti 和 Akira 等家族的 Linux 環境。後者表現出與大陸集團附屬威脅行為者的聯繫。