0
0
Os agentes de ameaças estão usando e personalizando o código Lockbit vazado para realizar seus próprios ataques de ransomware.
Lockbit é indiscutivelmentea principal operação de ransomware como serviço (RaaS) do mundo . Em junho passado,revelou sua última versão 3 do malware (também conhecido como “Lockbit Black”), prometendo “tornar o ransomware excelente novamente”. E seguiu em frente – a última iteração melhorou significativamente seus já poderosos antecessores, principalmente comsofisticadas proteções anti-análise . O terceiro Lockbit já foi implantado em grandes campanhas, como o recente ataque contrao maior porto do Japão .
No entanto, nem todos os ataques Lockbit são realizados pela Lockbit ou suas afiliadas. Depois de um desenvolvedorvazaram duas versões do código do construtor para Lockbit v3 em setembro passado, cibercriminosos não afiliados agora parecem estar adotando a principal ferramenta de criação de malware do cyber underground para seus próprios fins.
“É muito comum que outros hackers tirem vantagem de ransomware e outros programas de malware depois que o kit de ferramentas ou a fonte vaza. A maioria dos hackers é preguiçosa e seguirá o caminho mais rápido e curto para obter ganhos ilícitos”, disse Roger Grimes, analista de dados. evangelista de defesa impulsionado pela KnowBe4, em uma declaração enviada a Dark Reading.
Uma cara diferente para Lockbit
No outono passado, pesquisadores da Kaspersky observaram uma intrusão cibernética usando uma variante do Lockbit v3 para criptografar os sistemas críticos de uma organização. Mas a natureza do ataque não estava de forma alguma alinhada com o MO da Lockbit
Numa nota de resgate, os perpetradores identificaram-se como a “Agência Nacional de Riscos”. A mensagem deles era normal – “seus dados estão criptografados”, “se você não pagar o resgate, atacaremos sua empresa repetidamente novamente” etc. Eles incluíram um e-mail e detalhes de contato de mensagens instantâneas e exigiram o pagamento de US$ 3 milhões em Bitcoin ou Monero. (Grandes RaaS, como a Lockbit, usam sua própria plataforma personalizada para negociar com as vítimas.)
Outros pesquisadores observaramoutros grupos que usam o Lockbit nessa época, mas com seu próprio toque na nota de resgate, como no exemplo abaixo:
Para determinar quantos atores não afiliados estavam fazendo isso, os pesquisadores da Kaspersky recentementeanalisou 396 amostras observadas do construtor Lockbit na natureza. Destes, 77 não fizeram referência à Lockbit ou usaram diferentes informações de contato nas notas de resgate associadas, indicando a culpabilidade de atores não afiliados.
Como os ciberataques estão personalizando o Lockbit
De acordo com a Kaspersky, a maioria dos adotantes do Lockbit teve como alvo discos locais ou compartilhamentos de rede, habilitando o serviço kill, kill process, kill defender, exclusão de logs e parâmetros de autodestruição no malware. A maioria não habilitou o parâmetro de desligamento do sistema e muito poucos utilizaram a comunicação com um servidor de comando e controle.
Além dessas pequenas personalizações, os adotantes do Lockbit fizeram poucas alterações no próprio malware.
“Muitos dos parâmetros detectados correspondem à configuração padrão do construtor, apenas alguns contêm pequenas alterações. Isto indica que as amostras provavelmente foram desenvolvidas para necessidades urgentes ou possivelmente por atores preguiçosos”, explicaram os pesquisadores.
FONTE: DARKREADING