LockBit 3.0勒索软件构建器泄漏产生数百种新变种

发布日期：2023-08-28

去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来产生新的变种。

俄罗斯网络安全公司卡巴斯基表示，它检测到勒索软件入侵，该入侵部署了LockBit版本，但赎金要求程序明显不同。

“这起事件背后的攻击者决定使用不同的赎金票据，标题与一个以前未知的组织有关，称为 NATIONAL HAZARD AGENCY（国家危险局），”安全研究人员爱德华多·奥瓦莱和弗朗切斯科·图利说。

修改后的赎金票据直接指定了获取解密密钥所需的金额，并将通信定向到 Tox 服务和电子邮件，这与 LockBit 组不同，后者没有提及金额并使用自己的通信和谈判平台。

NATIONAL HAZARD AGENCY（国家危险局）远非唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙，已知利用它的其他一些威胁行为者包括Bl00dy和Buhti。

卡巴斯基指出，它在其遥测中总共检测到396个不同的LockBit样本，其中312个工件是使用泄漏的构建器创建的。多达 77 个样本在赎金记录中没有提及“LockBit”。

“许多检测到的参数对应于构建器的默认配置，只有一些包含微小的变化，”研究人员说。“这表明这些样本可能是为紧急需求而开发的，也可能是由懒惰的攻击者开发的。

这一披露是在Netrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的，该勒索软件自2019年以来已多次更名（BIT，LOLKEK，OBZ，U2K和TZW），同时针对个人和小型企业，以换取每个受害者在800美元至1600美元之间的微薄支出。

尽管这些迭代中的每一个都对加密方案、赎金记录和通信方法进行了轻微修改，但由于源代码和基础设施的相似性，仔细检查将它们全部与 ADHUBLLKA 联系起来。

“当勒索软件在外获得成功时，通常会看到网络犯罪分子使用相同的勒索软件样本 - 稍微调整他们的代码库 - 来试点其他项目，”安全研究员Rakesh Krishnan说。

“例如，他们可能会更改加密方案、赎金票据或命令和控制（C2）通信渠道，然后将自己重新命名为'新'勒索软件。”

勒索软件仍然是一个积极发展的生态系统，见证了策略的频繁转变，并且越来越关注使用Trigona，Monti和Akira等家族的Linux环境，后者与Conti附属的威胁参与者共享链接。

美国实体占企业受害者的83.9%，其次是德国（3.6%），加拿大（2.6%）和英国（2.1%）。据说有超过6000万人受到2023年5月开始的大规模勒索活动的影响。

但是，供应链勒索软件攻击的爆炸半径可能要高得多。据估计，威胁行为者预计将从他们的努力中获得7500万至1亿美元的非法利润。

“虽然MOVEit活动最终可能会直接影响1000多家公司，而且间接影响一个数量级，但只有非常非常小比例的受害者费心试图谈判，更不用说考虑付款了，”Coveware说。

“那些确实支付了赎金的人支付的费用远远高于之前的 CloP 活动，并且比全球平均赎金金额 740，144 美元（从 2023 年第一季度开始增加 126%）高出数倍。”

更重要的是，根据 Sophos 2023 年活跃对手报告，勒索软件事件的中位停留时间从 2022 年的 9 天下降到 2023 年上半年的 5 天，这表明“勒索软件团伙的行动速度比以往任何时候都快”。

相比之下，非勒索软件事件的中位停留时间从 11 天增加到 13 天。在此期间观察到的最长停留时间为112天。

“在81%的勒索软件攻击中，最终的有效载荷是在传统工作时间之外启动的，而对于那些在工作时间部署的有效载荷，只有一个工作日发生了五个，”网络安全公司表示。“近一半（43%）的勒索软件攻击是在周五或周六检测到的。

声明：内容来源thehackernews，版权归作者所有，转载目的在于传播更多资讯。如有侵权，请联系本站处理。