Λέγεται ότι οι προγραμματιστές του LockBit ransomware κατασκεύαζαν κρυφά μια νέα έκδοση του κακόβουλου λογισμικού τους, το LockBit-NG-Dev (πιθανότατα η νέα έκδοση LockBit 4.0), όταν οι αρχές επιβολής του νόμου κατέστρεψαν την υποδομή τους νωρίτερα αυτή την εβδομάδα.
Η υποδομή του LockBit ransomware κατασχέθηκε αυτή την Τρίτη από τις αρχές επιβολής του νόμου αρκετών χωρών. Διακόπηκε η λειτουργία των sites της ομάδας στο dark web, συμπεριλαμβανομένου του site διαρροής δεδομένων και του site διαπραγμάτευσης λύτρων.
Επιπλέον, αξιωματούχοι της αστυνομίας κυκλοφόρησαν ένα δωρεάν εργαλείο αποκρυπτογράφησης (LockBit 3.0 Black Ransomware).
Δείτε επίσης: LockBit ransomware: Αμοιβή $10 εκατ. για πληροφορίες σχετικά με τους αρχηγούς του
Δύο μέλη της LockBit συνελήφθησαν στην Πολωνία και την Ουκρανία, ενώ οι γαλλικές και οι αμερικανικές δικαστικές αρχές εξέδωσαν τρία διεθνή εντάλματα σύλληψης και πέντε κατηγορίες εναντίον άλλων συνεργατών.
Δύο Ρώσοι θεωρούνται, επίσης, ύποπτοι για συμμετοχή σε επιθέσεις LockBit.
Συνολικά, η αστυνομία κατέσχεσε 34 διακομιστές Lockbit σε όλο τον κόσμο και πάνω από 200 crypto wallets που χρησιμοποιούσε η συμμορία για τη συλλογή πληρωμών για λύτρα.
Ωστόσο, η εταιρεία κυβερνοασφάλειας Trend Micro σε συνεργασία με την Εθνική Υπηρεσία Εγκλήματος στο Ηνωμένο Βασίλειο, ανέλυσε ένα δείγμα της τελευταίας έκδοσης του LockBit που μπορεί να λειτουργήσει σε πολλαπλά λειτουργικά συστήματα.
LockBit ransomware: Νέα έκδοση
Ενώ το προηγούμενο encryptor LockBit ήταν βασισμένο σε C/C++, το πιο πρόσφατο δείγμα που είναι σε εξέλιξη, βασίζεται σε .NET και φαίνεται να έχει γίνει compiled με CoreRT και να έρχεται με MPRESS.
Η Trend Micro λέει ότι το κακόβουλο λογισμικό περιλαμβάνει ένα αρχείο διαμόρφωσης σε μορφή JSON, που περιγράφει τις παραμέτρους εκτέλεσης (π.χ. ημερομηνίες εκτέλεσης, λεπτομέρειες σημειώσεων λύτρων, μοναδικά αναγνωριστικά, RSA public key και άλλα).
Δείτε επίσης: LockBit ransomware: Συλλήψεις μελών και εργαλείο αποκρυπτογράφησης
Οι ερευνητές παρατήρησαν ότι η νέα έκδοση δεν διαθέτει ορισμένα χαρακτηριστικά που υπήρχαν σε προηγούμενες, αλλά φαίνεται ότι βρίσκεται στα τελικά στάδια ανάπτυξης και προσφέρει τις περισσότερες από τις αναμενόμενες δυνατότητες.
Υποστηρίζει τρεις λειτουργίες κρυπτογράφησης (χρησιμοποιώντας AES+RSA): “fast“, “intermittent” και “full“. Προσφέρει custom εξαίρεση αρχείων ή καταλόγων και μπορεί να τυχαιοποιήσει την ονομασία αρχείων για να περιπλέξει τις προσπάθειες αποκατάστασης.
Οι πρόσθετες επιλογές περιλαμβάνουν έναν μηχανισμό αυτόματης διαγραφής που αντικαθιστά τα περιεχόμενα του αρχείου του LockBit με null bytes.
Στην έκθεσή της, η Trend Micro δίνει περισσότερες λεπτομέρειες σχετικά με τη νέα έκδοση του LockBit ransomware, LockBit-NG-Dev.
Παρόλο που οι αρχές επιβολής του νόμου θεωρούσαν ότι προκάλεσαν ένα σοβαρό πλήγμα στη συμμορία, η ανακάλυψη του νέου LockBit encryptor δείχνει ότι οι hackers είναι πάντα σε επαγρύπνιση και ένα βήμα μπροστά. Ακόμα κι αν οι εφεδρικοί διακομιστές εξακολουθούν να ελέγχονται από τη συμμορία, η αποκατάσταση της επιχείρησης θα πρέπει να είναι μια δύσκολη πρόκληση όταν ο πηγαίος κώδικας για το κακόβουλο λογισμικό είναι γνωστός στους ερευνητές ασφαλείας.
Δείτε επίσης: Η Motilal Oswal υπέστη κυβερνοεπίθεση από την ομάδα LockBit
Το LockBit-NG-Dev θα μπορούσε να εξελιχθεί σε LockBit 4.0 μέσω μιας σειράς αναβαθμίσεων και βελτιώσεων. Οι προγραμματιστές του ransomware θα μπορούσαν να ενσωματώσουν νέες τεχνικές επίθεσης, πιο εξελιγμένα μέσα κρυπτογράφησης και πιο εκλεπτυσμένους μηχανισμούς διάδοσης.
Επιπλέον, ο νέος encryptor θα μπορούσε να ενσωματώσει πιο εξελιγμένες μεθόδους απόκρυψης. Αυτό θα μπορούσε να περιλαμβάνει την ενσωμάτωση τεχνικών που καθιστούν το λογισμικό πιο δύσκολο να εντοπιστεί από τα προγράμματα antivirus και άλλα εργαλεία ασφαλείας.
Πηγή: www.bleepingcomputer.com
