去年LockBit 3.0 勒索软件构建器的泄露导致威胁行为者滥用该工具产生新变种。
俄罗斯网络安全公司卡巴斯基表示,它检测到勒索软件入侵,该入侵部署了 LockBit 版本,但勒索要求程序明显不同。
安全研究人员爱德华多·奥瓦列 (Eduardo Ovalle) 和弗朗西斯科·菲图利 (Francesco Figelli)表示:“这起事件背后的攻击者决定使用另一张勒索信,其标题与一个先前未知的组织(名为“国家危害机构”)相关。”
修改后的赎金票据直接指定了获取解密密钥所需支付的金额,并将通信定向到 Tox 服务和电子邮件,这与 LockBit 组织不同,LockBit 组织没有提及金额并使用自己的通信和谈判平台。
NATIONAL HAZARD AGENCY 并不是唯一使用泄露的 LockBit 3.0 构建器的网络犯罪团伙。已知利用它的其他一些威胁参与者包括Bl00dy 和 Buhti。
卡巴斯基指出,它在遥测中总共检测到 396 个不同的 LockBit 样本,其中 312 个样本是使用泄露的构建器创建的。多达 77 个样本在勒索信中没有提及“LockBit”。
研究人员表示:“许多检测到的参数与构建器的默认配置相对应,只有一些参数包含微小的变化。” “这表明这些样本可能是为了紧急需求而开发的,或者可能是由懒惰的参与者开发的。”
此次披露之际,Netenrich 正在深入研究一种名为 ADHUBLLKA 的勒索软件,该勒索软件自 2019 年以来已多次更名(BIT、LOLCEK、OBZ、U2K 和 TZW),同时针对个人和小型企业,以换取 800 至 1,600 美元的微薄支付来自每个受害者。
尽管每次迭代都对加密方案、赎金票据和通信方法进行了细微修改,但由于源代码和基础设施的相似性,经过仔细检查后发现它们都与 ADHUBLLKA 联系在一起。
安全研究员 Rakesh Krishnan表示:“当勒索软件在野外取得成功时,网络犯罪分子通常会使用相同的勒索软件样本(稍微调整其代码库)来试点其他项目。”
“例如,他们可能会更改加密方案、勒索记录或命令与控制 (C2) 通信渠道,然后将自己重新命名为‘新’勒索软件。”
勒索软件仍然是一个积极发展的生态系统,其策略经常发生变化,并越来越多地关注使用Trigona、Monti和Akira等家族的 Linux 环境,后者与 Conti 附属威胁行为者有联系。
Akira 还与利用 Cisco VPN 产品作为攻击媒介的攻击有关,以获得对企业网络的未经授权的访问。此后,思科承认威胁行为者的目标是未配置多重身份验证的思科 VPN。
“攻击者通常关注多重身份验证 (MFA) 中不存在或已知的漏洞以及 VPN 软件中的已知漏洞,”网络设备专业人士表示。
“一旦攻击者获得了目标网络的立足点,他们就会尝试通过 LSASS(本地安全机构子系统服务)转储来提取凭据,以促进网络内的进一步移动,并在需要时提升权限。”
这一进展也正值勒索软件攻击创纪录激增之际,Cl0p 勒索软件组织利用MOVEit Transfer 应用程序中的缺陷获取初始访问权限并加密目标网络,从而入侵了1,000 个已知组织。
美国实体占企业受害者的 83.9%,其次是德国(3.6%)、加拿大(2.6%)和英国(2.1%)。据称,超过 6000 万人受到 2023 年 5 月开始的大规模剥削运动的影响。
然而,供应链勒索软件攻击的影响范围可能要大得多。据估计,威胁行为者预计将从他们的活动中获得 7500 万至 1 亿美元的非法利润。
Coveware表示:“虽然 MOVEit 活动最终可能会直接影响 1,000 多家公司,甚至间接影响一个数量级,但只有极少数受害者不愿意尝试谈判,更不用说考虑付费了。”
“那些支付赎金的人支付的赎金金额远高于之前的 CloP 活动,并且是全球平均赎金金额 740,144 美元的数倍(较 2023 年第一季度增加了 126%)。”
此外,根据 Sophos 2023 Active Adversary Report,勒索软件事件的中位停留时间从 2022 年的 9 天下降到 2023 年上半年的 5 天,这表明“勒索软件团伙的行动速度比以往任何时候都快”。
相比之下,非勒索软件事件的中位停留时间从 11 天增加到 13 天。在此期间观察到的最长停留时间为 112 天。
该网络安全公司表示:“在 81% 的勒索软件攻击中,最终有效负载是在传统工作时间之外发起的,而在工作时间部署的勒索软件攻击中,只有 5 次发生在工作日。” “近一半 (43%) 的勒索软件攻击是在周五或周六检测到的。”
原文始发于微信公众号(河南等级保护测评):LockBit 3.0 勒索软件构建器泄露导致数百个新变种
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论