Το σχετικά νέο Bl00Dy Ransomware Gang έχει αρχίσει να χρησιμοποιεί έναν LockBit ransomware builder που διέρρευσε πρόσφατα σε επιθέσεις εναντίον εταιρειών.
Την περασμένη εβδομάδα, ο ransomware builder LockBit 3.0 διέρρευσε στο Twitter μετά από διαμάχη του χειριστή LockBit με τον προγραμματιστή του. Αυτός ο builder επιτρέπει σε οποιονδήποτε να δημιουργήσει έναν πλήρως λειτουργικό encryptor και έναν decryptor που μπορούν να χρησιμοποιήσουν οι απειλητικοί φορείς για επιθέσεις.
Καθώς ο builder περιλαμβάνει ένα αρχείο διαμόρφωσης που μπορεί εύκολα να προσαρμοστεί ώστε να χρησιμοποιεί διαφορετικές σημειώσεις λύτρων, statistics servers και δυνατότητες, το BleepingComputer προέβλεψε ότι άλλοι απειλητικοί παράγοντες θα χρησιμοποιούσαν σύντομα τον builder για να δημιουργήσουν το δικό τους ransomware.
Δείτε επίσης: Ομάδα Lazarus: Διανέμει κακόβουλο λογισμικό macOS μέσω του Crypto.com
Όπως φαίνεται οι προβλέψεις βγήκαν αληθινες καθώς μια σχετικά νέα ομάδα ransomware με το όνομα «Bl00Dy Ransomware Gang» έχει ήδη χρησιμοποιήσει τον builder σε μια επίθεση σε μια ουκρανική οντότητα.
Η συμμορία Bl00dy Ransomware
Όπως αναφέρθηκε αρχικά από το DataBreaches.net, η συμμορία Bl00Dy Ransomware άρχισε να λειτουργεί γύρω στον Μάιο του 2022, όταν στόχευσε μια ομάδα ιατρικών και οδοντιατρικών practices στη Νέα Υόρκη.
Όπως και άλλες λειτουργίες ransomware που λειτουργούν από ανθρώπους, οι απειλητικοί φορείς παραβιάζουν ένα δίκτυο, κλέβουν εταιρικά δεδομένα και κρυπτογραφούν συσκευές. Ωστόσο, αντί να χρησιμοποιούν έναν ιστότοπο διαρροής δεδομένων Tor για να εκβιάζουν θύματα και να δημοσιεύουν κλεμμένα δεδομένα, οι απειλητικοί φορείς χρησιμοποιούν ένα κανάλι Telegram για τον ίδιο σκοπό.
Δείτε επίσης: Fast Company hack: Οι χάκερ στέλνουν ρατσιστικό μήνυμα μέσω του Apple News
Αν και πρόκειται σαφώς για μια συμμορία «ransomware», οι απειλητικοί φορείς δεν φαίνεται να αναπτύσσουν ανεξάρτητα ransomware. Αντίθετα, δημιουργούν encryptors χρησιμοποιώντας builders που έχουν διαρρεύσει και πηγαίο κώδικα άλλων λειτουργιών ransomware, όπως το Babuk και το Conti.
Τη Δευτέρα, ο ερευνητής κυβερνοασφάλειας Vladislav Radetskiy δημοσίευσε μια αναφορά για έναν νέο encryptor Bl00Dy Ransomware Gang που βρέθηκε σε επίθεση σε ένα Ουκρανικό θύμα.
Ωστόσο, δεν ήταν σαφές εάν το ransomware βασιζόταν στο Conti ή στο LockBit, καθώς το email ‘filedecryptionsupport@msgsafe.io’ προηγουμένως βρισκόταν σε έναν encryptor που είχε δημιουργηθεί από τον πηγαίο κώδικα Conti που διέρρευσε.
Ο ερευνητής MalwareHunterTeam επιβεβαίωσε αργότερα ότι ο encryptor κατασκευάστηκε χρησιμοποιώντας το πρόγραμμα δημιουργίας LockBit 3.0 που κυκλοφόρησε πρόσφατα. Μια σάρωση Intezer έδειξε και μεγάλο code overlap μεταξύ των κρυπτογραφητών Bl00dy και LockBit 3.0.
Το BleepingComputer έκανε μια δοκιμή στον κρυπτογραφητή Bl00dy Ransomware Gang και βρήκε κάποιες διαφορές μεταξύ αυτού του νέου κρυπτογραφητή και των προηγούμενων.
Δείτε επίσης: To NullMixer dropper μολύνει Windows PCs με 12 malware ταυτόχρονα
Σε προηγούμενες καμπάνιες, οι απειλητικοί παράγοντες πρόσθεσαν την επέκταση .bl00dy για κρυπτογραφημένα αρχεία. Ωστόσο, καθώς αυτή δεν είναι μια προσαρμόσιμη επιλογή στο εργαλείο δημιουργίας LockBit 3.0, οι απειλητικοί παράγοντες παραμένουν χρησιμοποιώντας επεκτάσεις που καθορίζονται κατά την κατασκευή του κρυπτογραφητή.
Όσον αφορά τη σημείωση λύτρων, τα ονόματα αρχείων εξακολουθούν να δημιουργούνται σε στυλ LockBit, αλλά οι απειλητικοί φορείς τα έχουν προσαρμόσει ώστε να περιλαμβάνουν το δικό τους κείμενο και πληροφορίες επικοινωνίας, όπως φαίνεται παρακάτω.
Τελικά, όμως, πρόκειται για έναν κρυπτογράφηση ransomware LockBit 3.0, επομένως υποστηρίζει όλες τις δυνατότητες που αναφέρθηκαν προηγουμένως από ερευνητές ασφαλείας.
Δεν θα ήταν περίεργο να δούμε το Bl00dy Ransomware Gang να χρησιμοποιεί διαφορετικές οικογένειες ransomware, όπως απαιτείται, είτε για να αποφύγει τον εντοπισμό είτε για να επωφεληθεί από διάφορες δυνατότητες.
Καθώς το LockBit 3.0 είναι μια από τις πιο προηγμένες, πλούσιες σε χαρακτηριστικά λειτουργίες ransomware αυτήν τη στιγμή, θα πρέπει να περιμένουμε από άλλους απειλητικούς παράγοντες να ξεκινήσουν νέες λειτουργίες χρησιμοποιώντας τον builder που διέρρευσε.
Πηγή πληροφοριών: bleepingcomputer.com
