LockBit 2.0 Ransomware IOCs - Part 4

ransomware IOC

Группа анализа ASEC обнаружила, что Lockbit 2.0 распространяется в формате MalPE вместо формата NSIS, в котором он был представлен ранее. Формат MalPE - это метод упаковки, который нарушает анализ фактической вредоносной программы. Затем он расшифровывает и исполняет свои PE-файлы с помощью внутреннего кода оболочки.

LockBit 2.0 Ransomware

Недавно в ходе мониторинга ransomware мы обнаружили, что распространение LockBit возросло с января. Как и прежде, LockBit распространяется с именами файлов, которые делают их похожими на приложения для работы. Новые обнаруженные имена файлов, а также уже существующие, выглядят следующим образом.

  • _Resume_220926 (Experience details are included Thank you).exe
  • #Resume_221116 (Experience details are included Thank you).exe
  • (Resume_221112 (I’ll show that I’m a hard worker).exe
  • 221208_Resume (I’ll do my best I will be in your case Thank you).exe
  • ~Resume_230116.exe
  • $Resume_230108.exe
  • Re_su_me [230124 (Experience details are included Thank you].exe
  • [Re_su_me] 230130 Please note that my experience details are also included.exe

Распространяемая программа Lockbit 2.0 ransomware с именем файла "Re_su_me [230124 (Experience details are included Thank you].exe" имеет формат MalPE, который имеет специфическую строку в области ресурсов, как показано на рисунке 1. Вредоносные программы формата MalPE имеют свойство распространяться с идентичными иконками, однако программа Lockbit 2.0 ransomware распространяется с иконкой, измененной на иконку Хангыль, что отражает ее маскировку под резюме.

Запущенная программа-вымогатель удаляет копии тени тома, регистрирует ключи запуска и отключает службы и процессы, чтобы избежать заражения и анализа файлов; при этом данная программа-вымогатель также удаляет журналы событий, что является поведением, которое никогда не было представлено.

После этого она шифрует системные файлы пользователя. Зашифрованные файлы имеют одинаковое расширение .lockbit и иконку. Команда также генерирует записку о выкупе с именем "Restore-My-Files.txt" перед сменой обоев.

Распространяемая вредоносная программа формата MalPE в последнее время нацелена на компании с помощью электронных писем, замаскированных под заявления о приеме на работу. Этим способом распространяется не только LockBit, но и всевозможные другие вредоносные программы.

LockBit 2.0 Ransomware IOCs

Indicators of Compromise

MD5

  • 6a98b2b6e37c7c92368548e902e9a139
  • cfbc3e71c945dd9918f0013acb652cbd
SEC-1275-1
Добавить комментарий