Η συμμορία LockBit ransomware χρησιμοποιεί ένα νέο encryptor με το όνομα Green, που βασίζεται στον source code του Conti ransomware.
Η συμμορία LockBit ransomware συνεχίζει την κακόβουλη δραστηριότητά της, αυτή τη φορά αναπτύσσοντας έναν κρυπτογράφο (encryptor), που βασίζεται στον source code του Conti ransomware που είχε διαρρεύσει στο παρελθόν. Δεν είναι η πρώτη φορά που χρησιμοποιεί encryptors που σχετίζονται με άλλες ransomware επιχειρήσεις.
Από την έναρξη των κακόβουλων δραστηριοτήτων της, η εγκληματική οργάνωση LockBit βελτιώνει συνεχώς την τεχνολογία κρυπτογράφησης και τις τακτικές της. Ξεκίνησε με ένα custom σύστημα και το εξέλιξε σε αυτό που τώρα είναι το LockBit 3.0 (aka LockBit Black), το οποίο βασίζεται στον source code του BlackMatter ransomware.
Δείτε επίσης: Χάκερ χρησιμοποιούν το IceBreaker malware για να παραβιάσουν εταιρείες gaming
Αυτή την εβδομάδα, το VX-Underground ανέφερε ότι η συμμορία ransomware χρησιμοποιεί τώρα το “LockBit Green“, ένα νέο encryptor που βασίζεται στον source code που διέρρευσε από την ομάδα Conti. Αυτό δείχνει ότι οι εγκληματίες του κυβερνοχώρου παραμένουν ενεργοί και σε εγρήγορση στην προσπάθειά τους να εκβιάζουν άτομα και εταιρείες σε όλο τον κόσμο.
Μετά από μια σειρά καταστροφικών παραβιάσεων δεδομένων της συμμορίας Conti, που οδήγησε σε διαρροή 170.000 εμπιστευτικών μηνυμάτων και του source code του κρυπτογράφου τους, πολλοί χάκερς δεν έχασαν ευκαιρία και χρησιμοποίησαν τον κώδικα για να δημιουργήσουν τους δικούς τους κρυπτογράφους, χρησιμοποιώντας τους ακόμη και εναντίον ρωσικών εταιρειών.
LockBit Green
Από τότε που κυκλοφόρησε η είδηση για το νέο LockBit Green, οι ερευνητές ανακάλυψαν δείγματα του νέου κρυπτογράφου στο VirusTotal και σε άλλες πλατφόρμες αναφοράς κακόβουλου λογισμικού.
Αφού ανέλυσε (reverse-engineered) ένα δείγμα του LockBit Green, ο CyberGeeksTech – ένας αναλυτής κακόβουλου λογισμικού – διαβεβαίωσε το BleepingComputer ότι, χωρίς αμφιβολία, υπάρχει σχέση με το Conti ransomware.
“Έχω αναλύσει το δείγμα και βασίζεται 100% στον source code του Conti“, είπε ο ερευνητής στο BleepingComputer.
“Ο αλγόριθμος αποκρυπτογράφησης είναι απλώς ένα παράδειγμα της ομοιότητας. Είναι παράξενο που επέλεξαν να δημιουργήσουν ένα payload με βάση το Conti, ενώ έχουν τον δικό τους encryptor εδώ και κάποιο καιρό“.
Δείτε επίσης: Apple Maps: Σφάλμα ίσως επέτρεπε συλλογή δεδομένων τοποθεσίας
Η εταιρεία κυβερνοασφάλειας PRODAFT αποκάλυψε, επίσης, τέσσερα MD5 hashes δειγμάτων LockBit Green, μαζί με ένα Yara rule που μπορεί να ανιχνεύσει τη νέα παραλλαγή.
Σύμφωνα με την PRODAFT, τουλάχιστον πέντε στόχοι έχουν ήδη υποστεί επίθεση από το νέο LockBit Green.
Παρά τις ομοιότητες με το Conti ransomware, τα σημειώματα λύτρων έχουν φυσικά τροποποιηθεί για να χρησιμοποιούν τη μορφή που χρησιμοποιεί το LockBit 3.0 (αντί του Conti).
Ωστόσο, φαίνεται ότι το LockBit Green χρησιμοποιεί αυτό που φαίνεται να είναι τυχαία επέκταση στα κρυπτογραφημένα αρχεία, αντί για την τυπική επέκταση .lockbit.
Δεν είναι ξεκάθαρος ο λόγος για τον οποίο η συμμορία LockBit χρησιμοποιεί ένα νέο encryptor που βασίζεται στο Conti ransomware, τη στιγμή που το δικό της λειτουργεί καλά. Ωστόσο, η PRODAFT μπορεί να έχει την απάντηση: “Παρατηρήσαμε ιδιαίτερα ότι τα πρώην μέλη της Conti προτιμούσαν το LockBit Green μετά την ανακοίνωση. Πιθανότατα νιώθουν άνετα χρησιμοποιώντας ransomware που βασίζεται σε conti“, είπε η PRODAFT στο BleepingComputer.
Δείτε επίσης: Επίθεση consent-phishing πέρασε τους ελέγχους ‘Verified Publisher’ της Microsoft
Το ransomware LockBit αναπτύσσεται σταθερά και συνεχίζει να αποτελεί απειλή για τα άτομα που δεν λαμβάνουν τις κατάλληλες προφυλάξεις στο διαδίκτυο. Με ισχυρούς αλγόριθμους κρυπτογράφησης στη διάθεσή του, το LockBit μπορεί εύκολα να κλειδώσει πολύτιμα δεδομένα μέχρι τα θύματα να πληρώσουν για την “απελευθέρωσή” τους – κάτι που πολλά άτομα είναι δυστυχώς πρόθυμα (ή αναγκασμένα) να κάνουν. Για να προστατευτείτε από το LockBit ή οποιοδήποτε άλλο ransomware, φροντίστε να επενδύσετε στην κατάλληλη εκπαίδευση σε θέματα ασφάλειας για τον εαυτό σας και τους υπαλλήλους σας, καθώς και στην τακτική επιδιόρθωση των συστημάτων και στην εφαρμογή λύσεων MFA όπου υπάρχουν!
Πηγή: www.bleepingcomputer.com