LockBit Green Ransomware IOCs

ransomware IOC

LockBit снова начала использовать шифровальщики, основанные на других операциях, на этот раз переключившись на шифровальщик, основанный на просочившемся исходном коде программы Conti ransomware.

С момента своего запуска операция LockBit пережила множество итераций своего шифровальщика, начиная с пользовательского и заканчивая LockBit 3.0 (он же LockBit Black), который был получен из исходного кода банды BlackMatter.

На этой неделе группа по кибербезопасности VX-Underground впервые сообщила, что банда разработчиков вымогательского ПО использует новый шифровальщик под названием "LockBit Green", основанный на утечке исходного кода ныне расформированной банды Conti.

LockBit Green Ransomware

С тех пор как новость о LockBit Green стала достоянием общественности, исследователи обнаружили образцы нового шифровальщика, циркулирующие на VirusTotal и других сайтах обмена вредоносным ПО.

Аналитик вредоносного ПО, известный как CyberGeeksTech, провел реверс-инжиниринг образца LockBit Green и сообщил BleepingComputer, что он определенно основан на шифровальщике Conti, который они анализировали ранее.

"Я проанализировал образец, и он на 100% основан на исходном коде Conti", - сказал исследователь в интервью BleepingComputer.

"Алгоритм расшифровки - это просто пример сходства. Странно, что они решили создать полезную нагрузку на основе Conti, у них уже давно есть свой собственный шифровальщик".

PRODAFT сообщила BleepingComputer, что им известно как минимум о пяти жертвах, которые подверглись атаке с использованием нового варианта LockBit Green.

BleepingComputer протестировал один из образцов, предоставленных ПРОДАФТ, который использует те же аргументы командной строки, что и предыдущие шифровальщики Conti.

Заметки о выкупе были изменены для использования формата LockBit 3.0.

Однако BleepingComputer заметили одно изменение: LockBit Green использует, похоже, случайное расширение, а не стандартное расширение .lockbit.

Хотя неясно, почему LockBit использует новый шифровальщик на базе Conti, в то время как их предыдущий работает нормально.

"Мы особенно заметили, что бывшие члены Conti предпочли LockBit Green после объявления. Вероятно, они чувствуют себя комфортно, используя вымогательские программы на базе Conti", - сообщили BleepingComputer в PRODAFT.

Indicators of Compromise

MD5

  • 37355f4fd63e7abd89bdc841ed98229f
  • 730f72a73ff216d15473d2789818f00c
  • aacef4e2151c264dc30963823bd3bb17
  • ea34ac6bf9e8a70bec84e37afeea458a

SHA1

  • 9492c378a14e9606157145d49e35a9841383121d
  • a8d46a042e6095d7671dbac2aeff74c7bb5e792a
  • ca94159bdb17051a6cce8a5deeee89942c9154b9
  • fd443460ccd1110b0a77385f2f66a38d3f527966

SHA256

  • 27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8
  • 45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315
  • b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1
  • fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3

 

SEC-1275-1
Добавить комментарий