Răufăcătorii de la LockBit ransomware lucrau în secret la o nouă versiune a malware-ului lor de criptare a fișierelor, numit LockBit-NG-Dev – probabil să devină LockBit 4.0, atunci când forțele de ordine au destructurat infrastructura cybercriminalilor săptămâna aceasta.
În urma colaborării cu Agenția Națională a Crimelor din Marea Britanie, compania de securitate cibernetică Trend Micro a analizat un eșantion al celei mai recente dezvoltări LockBit care poate funcționa pe mai multe sisteme de operare.
În timp ce versiunile anterioare ale malware-ului LockBit sunt construite în C/C++, eșantionul cel mai recent este un work-in-progress scris în .NET care pare a fi compilat cu CoreRT și împachetat cu MPRESS.
Trend Micro afirmă că malware-ul include un fișier de configurare în format JSON care conturează parametrii de execuție precum intervalul de date de execuție, detalii despre notificarea răscumpărării, ID-uri unice, cheie publică RSA și alte indicatoare operaționale.
Deși firma de securitate spune că noul encryptor lipsește unele caracteristici prezente în iterațiile anterioare (de exemplu, capacitatea de a se propaga singur în rețelele compromise, imprimarea notelor de răscumpărare pe imprimantele victimelor), pare să fie în stadiile finale de dezvoltare, oferind deja cea mai mare parte a funcționalității așteptate.
El suportă trei moduri de criptare (folosind AES+RSA), respectiv „rapid”, „intermitent” și „complet”, are excludere personalizată a fișierelor sau a directoriilor și poate să randomizeze numele fișierelor pentru a complica eforturile de restaurare.
Opțiunile suplimentare includ un mecanism de ștergere automată care suprascrie conținutul propriu al fișierelor LockBit cu octeți nuli.
Trend Micro a publicat o analiză tehnică profundă a malware-ului, care dezvăluie parametrii de configurare completi pentru LockBit-NG-Dev.
Descoperirea noului encryptor LockBit este o altă lovitură pe care forțele de ordine au dat-o operatorilor LockBit prin Operațiunea Cronos. Chiar dacă serverele de backup sunt încă controlate de bandă, restaurarea business-ului cybercriminal ar trebui să fie o provocare dificilă atunci când codul sursă pentru malware-ul de criptare este cunoscut cercetătorilor de securitate.
SUA oferă o recompensă de 15 milioane de dolari pentru informații despre banda de ransomware LockBit
Poliția arestează membrii bandei de ransomware LockBit, eliberează un decriptor într-o operațiune globală
Producătorul de software pentru infrastructură critică confirmă un atac cu ransomware
Codul sursă al ransomware-ului Knight de vânzare după ce site-ul de scurgeri este închis
Ransomware-ul LockBit este perturbat de o operațiune globală a poliției