LockBit fidye yazılımı çetesi, diğer operasyonlara dayalı şifreleyicileri yeniden kullanmaya başladı ve bu sefer Conti fidye yazılımı için sızdırılan kaynak koduna dayalı bir şifreleyiciye geçti.
LockBit operasyonu, lansmanından bu yana, özel bir şifreleyiciden başlayıp BlackMatter çetesinin kaynak kodundan türetilen LockBit 3.0’a (aka LockBit Black) geçerek şifreleyicisinin çok sayıda yinelemesinden geçti.
Bu hafta, siber güvenlik topluluğu VX-Underground ilk bildirilen fidye yazılımı çetesinin artık dağılmış durumdaki Conti çetesinin sızdırılmış kaynak koduna dayalı olarak ‘LockBit Green’ adlı yeni bir şifreleyici kullandığını.
Conti fidye yazılımı çetesi, 170.000 dahili mesajın ve şifreleyicilerinin kaynak kodunun sızdırılmasının neden olduğu bir dizi utanç verici veri ihlalinin ardından kapandı.
Kaynak kodu sızdırıldıktan kısa bir süre sonra, diğer bilgisayar korsanlığı grupları bunu kendi şifreleyicilerini oluşturmak için kullanmaya başladı ve bazıları ironik bir şekilde Rus şirketlerine karşı kullanıldı.
LockBit Green’e bir bakış
LockBit Green haberinin kamuoyuna duyurulmasından bu yana, araştırmacılar VirusTotal ve diğer kötü amaçlı yazılım paylaşım sitelerinde dolaşan yeni şifreleyici örnekleri buldular.
olarak bilinen bir kötü amaçlı yazılım analisti. CyberGeeksTech LockBit Green örneğinin tersine mühendisliğini yaptı ve BleepingComputer’a bunun kesinlikle daha önce analiz ettikleri Conti şifreleyicisine dayandığını söyledi.
Araştırmacı BleepingComputer’a “Örneği analiz ettim ve %100 Conti kaynak koduna dayalı,” dedi.
“Şifre çözme algoritması sadece benzerliğe bir örnek. Conti’ye dayalı bir yük oluşturmayı seçmeleri tuhaf, bir süredir kendi şifreleyicileri var.”
Siber güvenlik firması PRODAFT ayrıca, yeni değişkeni algılayabilen bir Yara kuralı da dahil olmak üzere buldukları LockBit Green örneklerinin dört MD5 karmasını paylaştı.
PRODAFT, BleepingComputer’a yeni LockBit Green varyantı kullanılarak saldırıya uğrayan en az beş kurban bildiklerini söyledi.
BleepingComputer, önceki Conti şifreleyicilerle aynı komut satırı argümanlarını kullanan PRODAFT tarafından paylaşılan örneklerden birini test etti.
Fidye notları, aşağıda gösterildiği gibi Conti’nin formatı yerine LockBit 3.0 fidye notunu kullanacak şekilde değiştirildi.
Ancak fark ettiğimiz bir değişiklik, LockBit Green’in standart uzantı yerine rastgele görünen bir uzantı kullanmasıdır. .lockbit eklenti.
Bir önceki şifreleyici iyi çalışırken LockBit operasyonunun neden yeni bir Conti tabanlı şifreleyici kullandığı açık olmasa da, PRODAFT’ın cevabı olabilir.
PRODAFT, BleepingComputer’a “Duyurudan sonra özellikle eski Conti üyelerinin LockBit Green’i tercih ettiğini gözlemledik. Muhtemelen conti tabanlı fidye yazılımlarını kullanmaktan çekinmiyorlar” dedi.