Lockbit 3.0 和 Blackmatter 勒索軟件之間的奇怪相似之處

研究人員發現 LockBit 3.0 勒索軟件和 BlackMatter 之間有相似之處，后者是 DarkSide 勒索軟件的更名變體。

網絡安全研究人員發現最新版本的 LockBit 勒索軟件 LockBit 3.0和 BlackMatter勒索軟件之間存在相似之處。

Lockbit  3.0 勒索軟件 于 6 月發布，具有重要的創新功能，例如漏洞賞金計劃、Zcash 支付和新的勒索策略。該團伙至少自 2019 年以來一直活躍，如今它是最活躍的勒索軟件團伙之一。

勒索軟件將擴展名“HLJkNskOq”或“19MqZqZ0s”附加到加密文件的文件名中，并將其圖標更改為.ico文件的圖標。

贖金票據引用了“伊隆馬斯克”和歐盟的通用數據保護條例 (GDPR)。

感染過程完成后，勒索軟件會更改機器的壁紙，以通知它們受到攻擊。

在調試 Lockbit 3.0 樣本時，趨勢科技研究人員注意到 LockBit 3.0 代碼的多個部分是從 BlackMatter 勒索軟件中借用的。

“從我們 對解壓樣本的檢查 和研究員 Chuong Dong提供的分析中，我們發現 LockBit 3.0 需要一個 pass 參數來解密其主程序。” 閱讀趨勢科技發布的分析。”LockBit 3.0 通過對 DLL 的 API 名稱進行哈希處理，然后將其與勒索軟件所需的 API 列表進行比較來執行 API 收集。此例程與 BlackMatter 的例程相同，因為 用于重命名 BlackMatter API的外部可用腳本 也適用于 LockBit 3.0。”

專家們強調了與 BlackMatter 用于識別 API 以執行不同活動的權限提升和收集例程的相似之處。

此外，LockBit 的最新變體還檢查受害機器的 UI 語言，以避免使用獨立國家聯合體 (CIS) 國家使用的這些語言感染機器。

影子副本的刪除由 Lockbit 3.0 實現，BlackMatter 通過 COM 對象使用 Windows Management Instrumentation (WMI)。專家指出 LockBit 2.0 使用 vssadmin.exe 進行刪除。

“隨著這個最新變種的發布——以及 LockBit 的漏洞賞金計劃的推出，它獎勵其附屬機構——我們預計 LockBit 勒索軟件組織在未來幾天會更加活躍。” 報告結束。“我們建議組織和最終用戶對這種新變種保持警惕，特別是因為漏洞賞金計劃可能會幫助運營商使他們的勒索軟件變得更加強大。”