專家發現新 LockBit 3.0 和 BlackMatter 勒索軟件之間的相似之處

網絡安全研究人員重申了 LockBit 勒索軟件的最新版本與 BlackMatter 之間的相似之處，BlackMatter是 DarkSide 勒索軟件菌株的更名變體，于 2021 年 11 月關閉商店。

LockBit的新版本，稱為 LockBit 3.0 又名 LockBit Black，于 2022 年 6 月發布，推出了一個全新的泄密站點，這是第一個勒索軟件漏洞賞金計劃，以及 Zcash 作為加密貨幣支付選項。

其加密過程涉及將擴展名“HLJkNskOq”或“19MqZqZ0s”附加到每個文件，并將鎖定文件的圖標更改為 LockBit 樣本刪除的 .ico 文件的圖標以啟動感染。

趨勢科技研究人員在周一的一份報告中說 “勒索軟件隨后放棄了勒索票據，其中提到了‘伊隆馬斯克’和歐盟的通用數據保護條例 (GDPR)。” “最后，它會更改受害者機器的壁紙，以通知他們勒索軟件的攻擊。”

LockBit 與 BlackMatter 的廣泛相似之處來自于權限提升和獲取例程的重疊，這些例程用于識別終止進程和其他功能所需的 API，以及使用旨在阻止分析的反調試和線程技術。

另外值得注意的是它使用“-pass”參數來解密其主程序，這種行為在另一個名為Egregor的已解散勒索軟件系列中看到，如果參數不可用，則有效地使二進制文件更難反轉。

LockBit 3.0 變體和 BlackMatter 勒索軟件

此外，LockBit 3.0 旨在檢查受害機器的顯示語言，以避免損害與獨立國家聯合體 (CIS) 國家相關的系統。

“第三個 LockBit 版本的一個值得注意的行為是它的文件刪除技術：它不使用 cmd.exe 執行批處理文件或執行刪除的命令，而是刪除并執行從二進制文件中解密的 .tmp 文件，”研究人員說。

然后這個 .tmp 文件覆蓋勒索軟件二進制文件的內容，然后多次重命名二進制文件，新文件名基于原始文件名的長度，包括擴展名，以防止取證工具恢復并覆蓋它的軌跡。

該調查結果發布之際，LockBit 感染已成為2022 年最活躍的勒索軟件即服務 (RaaS) 組織，最近據稱是意大利國稅局 (L'Agenzia delle Entrate)。

根據今天發布的 Palo Alto Networks 2022 Unit 42 事件響應報告，該報告基于 2021 年 5 月至 2022 年 4 月期間處理的 600 起案件，勒索軟件家族占入侵的 14%，僅次于 Conti 的 22%。

這一發展還凸顯了 RaaS 商業模式的持續成功，降低了勒索者的進入門檻并擴大了勒索軟件的范圍。

Check Point 對 2022 年第二季度網絡攻擊趨勢的分析顯示，每周平均受到勒索軟件影響的組織達到 40 個，比 2021 年第二季度的 64 個組織中的一個增加了 59%。“拉丁美洲的攻擊增幅最大，發現每周受到影響的 23 個組織中有 1 個，同比增長 43%，而 2021 年第二季度為 33 個組織中的一個，其次是亞洲地區，同比增長 33%，達到每周有 17 個組織受到影響，”這家以色列網絡安全公司表示。