Οι προγραμμα
τι
στές ransomware LockBit κατασκεύαζαν κρυφά μια νέα έκδοση του κακόβουλου λογισμικού κρυπτογράφησης αρχείων τους,
που
ονομάστηκε LockBit-NG-Dev – πιθανότατα θα γίνει LockBit 4.0, όταν οι αρχές επιβολής του νόμου κατέστρεψαν την υποδομή του κυβερνοεγκληματία νωρίτερα αυτή την εβδομάδα.
Ως αποτέλεσμα της συνεργασίας με την Εθνική Υπηρεσία Εγκλήματος στο Ηνωμένο Βασίλειο, η εταιρεία κυβερνοασφάλειας Trend Micro ανέλυσε ένα δείγμα της τελευταίας εξέλιξης LockBit που μπορεί να λειτουργήσει σε πολλαπλά λειτουργικά συστήματα.
LockBit επόμενης γενιάς
Ενώ το προηγούμενο κακόβουλο λογισμικό LockBit είναι ενσωματωμένο σε C/C++, το πιο πρόσφατο δείγμα είναι ένα έργο σε εξέλιξη γραμμένο σε .NET που φαίνεται να έχει μεταγλωττιστεί με CoreRT και να είναι γεμάτο με MPRESS.
Trend Micro
λέει
ότι το κακόβουλο λογισμικό περιλαμβάνει ένα αρχείο διαμόρφωσης σε μορφή JSON που περιγράφει τις παραμέτρους εκτέλεσης, όπως το εύρος ημερομηνιών εκτέλεσης, τις λεπτομέρειες σημειώσεων λύτρων, τα μοναδικά αναγνωριστικά, το δημόσιο κλειδί RSA και άλλες λειτουργικές σημαίες.
Αποκρυπτογραφημένη διαμόρφωση
(Trend Micro)
Αν και η εταιρεία ασφαλείας λέει ότι ο νέος κρυπτογραφητής δεν διαθέτει ορισμένα χαρακτηριστικά που υπήρχαν σε προηγούμενες
επα
ναλήψεις (π.χ. δυνατότητα αυτοδιάδοσης σε δίκτυα που έχουν παραβιαστεί, εκτύπωση σημειώσεων λύτρων στους εκτυπωτές του θύματος), φαίνεται ότι βρίσκεται στα τελικά στάδια ανάπτυξής του, προσφέροντας ήδη τα περισσότερα από τα αναμενόμενα λειτουργικότητα.
Υποστηρίζει τρεις τρόπους κρυπτογράφησης (χρησιμοποιώντας AES+RSA), δηλαδή “γρήγορη”, “διαλείπουσα” και “πλήρης”, έχει προσαρμοσμένη εξαίρεση αρχείων ή καταλόγου και μπορεί να τυχαιοποιήσει την ονομασία του αρχείου για να περιπλέξει τις προσπάθειες αποκατάστασης.
Αρχείο
κρυπτογραφημένο σε διαλείπουσα λειτουργία
(Trend Micro)
Οι πρόσθετες επιλογές περιλαμβάνουν έναν μηχανισμό αυτόματης διαγραφής που αντικαθιστά τα περιεχόμενα του αρχείου του LockBit με μηδενικά byte.
Η Trend Micro δημοσίευσε ένα
βαθιά τεχνική ανάλυση
του κακόβουλου λογισμικού, το οποίο αποκαλύπτει τις πλήρεις παραμέτρους διαμόρφωσης για το LockBit-NG-Dev.
Η ανα
κάλυψη
του νέου κρυπτογραφητή LockBit είναι ένα άλλο χτύπημα από την επιβολή του νόμου στους χειριστές LockBit μέσω της Επιχείρησης Cronos. Ακόμα κι αν οι εφεδρικοί διακομιστές εξακολουθούν να ελέγχονται από τη συμμορία, η αποκατάσταση της επιχείρησης του κυβερνοεγκλήματος θα πρέπει να είναι μια δύσκολη πρόκληση όταν ο πηγαίος κώδικας για το κακόβουλο λογισμικό κρυπτογράφησης είναι γνωστός στους ερευνητές ασφαλείας.
VIA:
bleepingcomputer.com
