Uzmanlar, Yeni LockBit 3.0 ve BlackMatter Fidye Yazılımı Arasında Benzerlikler Buluyor


LockBit 3.0 Varyantı ve BlackMatter Fidye Yazılımı

Siber güvenlik araştırmacıları, LockBit fidye yazılımının en son yinelemesi ile Kasım 2021’de mağazayı kapatan DarkSide fidye yazılımı türünün yeniden markalanmış bir çeşidi olan BlackMatter arasındaki benzerlikleri yinelediler.

LockBit 3.0 olarak da bilinen LockBit Black adlı yeni LockBit sürümü, Haziran 2022’de piyasaya sürüldü ve yepyeni bir sızıntı sitesi ve kripto para ödeme seçeneği olarak Zcash’in yanı sıra ilk fidye yazılımı hata ödül programı olan ilk fidye yazılımı başlattı.

Şifreleme işlemi, her dosyaya “HLJkNskOq” veya “19MqZqZ0s” uzantısının eklenmesini ve enfeksiyonu başlatmak için kilitli dosyaların simgelerini LockBit örneği tarafından bırakılan .ico dosyasının simgeleriyle değiştirmeyi içerir.

Trend Micro araştırmacıları Pazartesi günkü bir raporda, “Fidye yazılımı daha sonra ‘Ilon Musk’ ve Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) atıfta bulunan fidye notunu düşürür.” Dedi. “Son olarak, fidye yazılımı saldırısı hakkında onları bilgilendirmek için kurbanın makinesinin duvar kağıdını değiştirir.”

Siber güvenlik

LockBit’in BlackMatter ile kapsamlı benzerlikleri, süreçleri ve diğer işlevleri sonlandırmak için gereken API’leri belirlemek için kullanılan ayrıcalık yükseltme ve toplama rutinlerindeki çakışmaların yanı sıra analizi engellemek için tasarlanmış hata giderme ve iş parçacığı oluşturma tekniklerinin kullanımından gelir.

Ayrıca, ana rutininin şifresini çözmek için bir “-pass” argümanı kullanması, Egregor adlı başka bir feshedilmiş fidye yazılımı ailesinde görülen ve parametre mevcut değilse ikiliyi tersine çevirmeyi etkili bir şekilde zorlaştıran bir davranıştır.

LockBit 3.0 Varyantı ve BlackMatter Fidye Yazılımı

Ayrıca LockBit 3.0, Bağımsız Devletler Topluluğu (CIS) devletleriyle ilişkili sistemlerden ödün vermemek için kurban makinenin görüntü dilini kontrol etmek üzere tasarlanmıştır.

Araştırmacılar, “Bu üçüncü LockBit sürümü için dikkate değer bir davranış, dosya silme tekniğidir: Bir toplu iş dosyasını veya silme işlemini gerçekleştirecek komutu yürütmek için cmd.exe kullanmak yerine, ikili dosyadan şifresi çözülen bir .tmp dosyasını bırakır ve yürütür.” söz konusu.

Bu .tmp dosyası daha sonra fidye yazılımı ikili dosyasının içeriğinin üzerine yazar ve daha sonra adli araçlar ve kapak tarafından kurtarmayı önlemek amacıyla, uzantı da dahil olmak üzere orijinal dosya adının uzunluğuna dayalı olarak yeni dosya adlarıyla ikili dosyayı birkaç kez yeniden adlandırır. onun izleri.

Bulgular, LockBit enfeksiyonlarının 2022’de en aktif hizmet olarak fidye yazılımı (RaaS) grupları olarak ortaya çıkmasıyla ortaya çıktı ve en son iddiaya göre İtalyan İç Gelir Servisi (L’Agenzia delle Entrate).

Siber güvenlik

Mayıs 2021 ile Nisan 2022 arasında ele alınan 600 vakaya dayalı olarak bugün yayınlanan Palo Alto Networks 2022 Birim 42 Olay Müdahale Raporuna göre, fidye yazılımı ailesi izinsiz girişlerin %14’ünü oluşturuyor ve %22 ile Conti’den sonra ikinci sırada yer alıyor.

Fidye Yazılım İstatistikleri

Gelişme aynı zamanda RaaS iş modelinin devam eden başarısını vurgulayarak, gaspçıların giriş engelini azaltıyor ve fidye yazılımlarının erişimini genişletiyor.

Check Point’in 2022’nin ikinci çeyreği için siber saldırı eğilimleri analizi, fidye yazılımlarından etkilenen kuruluşların haftalık ortalamasının, 2021’in ikinci çeyreğinde 64 kuruluştan birinden yıllık %59 artışla 40’ta birine ulaştığını gösteriyor.

“Latin Amerika, saldırılarda en büyük artışı gördü, haftalık olarak etkilenen 23 kuruluştan biri, 2021’in ikinci çeyreğindeki 33 kuruluştan birine kıyasla yıllık %43’lük bir artış gördü ve onu bir önceki yılın aynı dönemine göre %33 artış gösteren Asya bölgesi izledi. İsrail siber güvenlik firması, haftalık olarak etkilenen 17 kuruluştan biri” dedi.





Source link