LockBit снова начала использовать шифровальщики, основанные на других операциях, на этот раз переключившись на шифровальщик, основанный на просочившемся исходном коде программы Conti ransomware.
С момента своего запуска операция LockBit пережила множество итераций своего шифровальщика, начиная с пользовательского и заканчивая LockBit 3.0 (он же LockBit Black), который был получен из исходного кода банды BlackMatter.
На этой неделе группа по кибербезопасности VX-Underground впервые сообщила, что банда разработчиков вымогательского ПО использует новый шифровальщик под названием "LockBit Green", основанный на утечке исходного кода ныне расформированной банды Conti.
LockBit Green Ransomware
С тех пор как новость о LockBit Green стала достоянием общественности, исследователи обнаружили образцы нового шифровальщика, циркулирующие на VirusTotal и других сайтах обмена вредоносным ПО.
Аналитик вредоносного ПО, известный как CyberGeeksTech, провел реверс-инжиниринг образца LockBit Green и сообщил BleepingComputer, что он определенно основан на шифровальщике Conti, который они анализировали ранее.
"Я проанализировал образец, и он на 100% основан на исходном коде Conti", - сказал исследователь в интервью BleepingComputer.
"Алгоритм расшифровки - это просто пример сходства. Странно, что они решили создать полезную нагрузку на основе Conti, у них уже давно есть свой собственный шифровальщик".
PRODAFT сообщила BleepingComputer, что им известно как минимум о пяти жертвах, которые подверглись атаке с использованием нового варианта LockBit Green.
BleepingComputer протестировал один из образцов, предоставленных ПРОДАФТ, который использует те же аргументы командной строки, что и предыдущие шифровальщики Conti.
Заметки о выкупе были изменены для использования формата LockBit 3.0.
Однако BleepingComputer заметили одно изменение: LockBit Green использует, похоже, случайное расширение, а не стандартное расширение .lockbit.
Хотя неясно, почему LockBit использует новый шифровальщик на базе Conti, в то время как их предыдущий работает нормально.
"Мы особенно заметили, что бывшие члены Conti предпочли LockBit Green после объявления. Вероятно, они чувствуют себя комфортно, используя вымогательские программы на базе Conti", - сообщили BleepingComputer в PRODAFT.
Indicators of Compromise
MD5
- 37355f4fd63e7abd89bdc841ed98229f
- 730f72a73ff216d15473d2789818f00c
- aacef4e2151c264dc30963823bd3bb17
- ea34ac6bf9e8a70bec84e37afeea458a
SHA1
- 9492c378a14e9606157145d49e35a9841383121d
- a8d46a042e6095d7671dbac2aeff74c7bb5e792a
- ca94159bdb17051a6cce8a5deeee89942c9154b9
- fd443460ccd1110b0a77385f2f66a38d3f527966
SHA256
- 27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8
- 45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315
- b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1
- fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3