LockBit
Группа анализа ASEC обнаружила, что Lockbit 2.0 распространяется в формате MalPE вместо формата NSIS, в котором он был представлен ранее. Формат MalPE - это метод упаковки, который нарушает анализ фактической вредоносной программы. Затем он расшифровывает и исполняет свои PE-файлы с помощью внутреннего кода оболочки.
LockBit снова начала использовать шифровальщики, основанные на других операциях, на этот раз переключившись на шифровальщик, основанный на просочившемся исходном коде программы Conti ransomware.
В середине 2022 года аналитическая группа ASEC сообщила, что по электронной почте распространяется вредоносное ПО с форматом файла XLL (расширение файла: .xll). Файл XLL имеет форму DLL файла PE (Portable Executable), но исполняется с помощью Microsoft Excel. С тех пор этот тип вредоносного ПО не распространялся
Сжатый файл, прикрепленный к фишинговым письмам, имеет формат [Имя человека].zip и содержит внутри дополнительный сжатый файл. Дополнительный сжатый файл содержит LockBit 2.0, замаскированный под файл изображения и обычный файл Excel. Имя файла распространяемой ransomware - "(Special character)Resume_221112(I’ll show that I’m a hard worker).
Аналитическая группа ASEC подтвердила, что злоумышленники используют Amadey Bot для установки LockBit. Amadey Bot - вредоносное ПО, впервые обнаруженное в 2018 году, способно похищать информацию и устанавливать дополнительные вредоносные программы, получая команды от злоумышленника.
Компания Microsoft обнаружила недавнюю активность, указывающую на то, что червь Raspberry Robin является частью сложной и взаимосвязанной экосистемы вредоносных программ, имеющей связи с другими семействами вредоносных программ и альтернативные методы заражения, помимо первоначального распространения с USB-накопителя.
Конструктор вымогательского ПО LockBit 3.0 был опубликован в Twitter после того, как оператор LockBit поссорился со своим разработчиком. Этот конструктор позволяет любому желающему создать полнофункциональный шифровальщик и дешифровщик, который угрожающие субъекты могут использовать для атак.
Разработка специального инструмента позволяет предположить, что злоумышленники пытаются увеличить скорость своих атак.
Появление LockBit 3.0, также известного как "LockBit Black", в июне этого года совпало со значительным увеличением числа жертв, опубликованных на сайте утечки LockBit, что указывает на то, что последние несколько месяцев ознаменовались для группы LockBit периодом активной деятельности.
В мае 2022 года один из поставщиков автомобильной продукции подвергся трем отдельным атакам с использованием вымогательского ПО. Все три угрозы использовали одну и ту же неправильную конфигурацию - правило брандмауэра, открывающее доступ к протоколу удаленного рабочего стола (RDP) на сервере управления