LockBit 3.0 勒索软件构建器泄露导致数百个新变种

admin 2023年8月28日01:39:02评论48 views字数 2657阅读8分51秒阅读模式

LockBit 3.0 勒索软件构建器泄露导致数百个新变种

去年LockBit 3.0 勒索软件构建器的泄露导致威胁行为者滥用该工具产生新变种。

俄罗斯网络安全公司卡巴斯基表示,它检测到勒索软件入侵,该入侵部署了 LockBit 版本,但勒索要求程序明显不同。

安全研究人员爱德华多·奥瓦列 (Eduardo Ovalle) 和弗朗西斯科·菲图利 (Francesco Figelli)表示:“这起事件背后的攻击者决定使用另一张勒索信,其标题与一个先前未知的组织(名为“国家危害机构”)相关。

修改后的赎金票据直接指定了获取解密密钥所需支付的金额,并将通信定向到 Tox 服务和电子邮件,这与 LockBit 组织不同,LockBit 组织没有提及金额并使用自己的通信和谈判平台。

NATIONAL HAZARD AGENCY 并不是唯一使用泄露的 LockBit 3.0 构建器的网络犯罪团伙。已知利用它的其他一些威胁参与者包括Bl00dy 和 Buhti

卡巴斯基指出,它在遥测中总共检测到 396 个不同的 LockBit 样本,其中 312 个样本是使用泄露的构建器创建的。多达 77 个样本在勒索信中没有提及“LockBit”。

研究人员表示:“许多检测到的参数与构建器的默认配置相对应,只有一些参数包含微小的变化。” “这表明这些样本可能是为了紧急需求而开发的,或者可能是由懒惰的参与者开发的。”

此次披露之际,Netenrich 正在深入研究一种名为 ADHUBLLKA 的勒索软件,该勒索软件自 2019 年以来已多次更名(BIT、LOLCEK、OBZ、U2K 和 TZW),同时针对个人和小型企业,以换取 800 至 1,600 美元的微薄支付来自每个受害者。

尽管每次迭代都对加密方案、赎金票据和通信方法进行了细微修改,但由于源代码和基础设施的相似性,经过仔细检查后发现它们都与 ADHUBLLKA 联系在一起。

安全研究员 Rakesh Krishnan表示:“当勒索软件在野外取得成功时,网络犯罪分子通常会使用相同的勒索软件样本(稍微调整其代码库)来试点其他项目。

“例如,他们可能会更改加密方案、勒索记录或命令与控制 (C2) 通信渠道,然后将自己重新命名为‘新’勒索软件。”

勒索软件仍然是一个积极发展的生态系统,其策略经常发生变化,并越来越多地关注使用TrigonaMontiAkira等家族的 Linux 环境,后者与 Conti 附属威胁行为者有联系。

LockBit 3.0 勒索软件构建器泄露导致数百个新变种

Akira 还与利用 Cisco VPN 产品作为攻击媒介的攻击有关,以获得对企业网络的未经授权的访问。此后,思科承认威胁行为者的目标是未配置多重身份验证的思科 VPN。

“攻击者通常关注多重身份验证 (MFA) 中不存在或已知的漏洞以及 VPN 软件中的已知漏洞,”网络设备专业人士表示

“一旦攻击者获得了目标网络的立足点,他们就会尝试通过 LSASS(本地安全机构子系统服务)转储来提取凭据,以促进网络内的进一步移动,并在需要时提升权限。”

这一进展也正值勒索软件攻击创纪录激增之际,Cl0p 勒索软件组织利用MOVEit Transfer 应用程序中的缺陷获取初始访问权限并加密目标网络,从而入侵了1,000 个已知组织。

美国实体占企业受害者的 83.9%,其次是德国(3.6%)、加拿大(2.6%)和英国(2.1%)。据称,超过 6000 万人受到 2023 年 5 月开始的大规模剥削运动的影响。

然而,供应链勒索软件攻击的影响范围可能要大得多。据估计,威胁行为者预计将从他们的活动中获得 7500 万至 1 亿美元的非法利润。

Coveware表示:“虽然 MOVEit 活动最终可能会直接影响 1,000 多家公司,甚至间接影响一个数量级,但只有极少数受害者不愿意尝试谈判,更不用说考虑付费了。

“那些支付赎金的人支付的赎金金额远高于之前的 CloP 活动,并且是全球平均赎金金额 740,144 美元的数倍(较 2023 年第一季度增加了 126%)。”

此外,根据 Sophos 2023 Active Adversary Report,勒索软件事件的中位停留时间从 2022 年的 9 天下降到 2023 年上半年的 5 天,这表明“勒索软件团伙的行动速度比以往任何时候都快”。

相比之下,非勒索软件事件的中位停留时间从 11 天增加到 13 天。在此期间观察到的最长停留时间为 112 天。

该网络安全公司表示:“在 81% 的勒索软件攻击中,最终有效负载是在传统工作时间之外发起的,而在工作时间部署的勒索软件攻击中,只有 5 次发生在工作日。” “近一半 (43%) 的勒索软件攻击是在周五或周六检测到的。”

标准下载:2023年24个即将实施标准下载
标准下载:大数据 系统运维和管理功能要求GB/T 38633-2020
标准下载:个人信息去标识化效果评估指南GB/T 42460-2023
标准下载:2020版金融行业网络安全等级保护实施指引(第1-6部分)
标准下载:网络安全从业人员能力基本要求GB/T 42446-2023
标准下载:工业控制系统信息安全防护能力成熟度模型GB/T 41400-2022
标准下载:交通运输行业网络安全等级保护基本要求 JT/T 1417-2022
标准下载:大数据系统基本要求GB/T 38673-2020
标准下载:网络安全事件分类分级指南 GB/T 20986-2023
标准下载:云计算服务安全能力要求GB/T 31168-2023
标准下载:信息安全风险管理实施指南GB/T 24364-2023
标准下载:电子政务移动办公系统安全技术规范 GB/T 35282-2023
标准下载:网络安全审计产品技术规范GB/T 20945-2023
标准下载:边缘计算安全技术要求GB/T 42564-2023
标准下载:区块链技术安全框架GB/T 42570-2023
标准下载:区块链信息服务安全规范GB/T 42571-2023
标准下载:云计算服务安全指南 GB/T 31167-2023
标准下载:政务网络安全监测平台技术规范GB/T 42583-2023
标准下载:网络入侵防御产品技术规范GB/T 28451-2023
标准下载:网络身份服务安全技术要求 GB/T 42573-2023
标准下载:可信执行环境服务规范 GB/T 42572-2023
标准下载:个人信息处理中告知和同意的实施指南GB/T 42574-2023
标准下载:移动互联网应用程序(App)个人信息安全测评规范 GB/T 42582-2023
标准下载:系统与软件工程 开发运维一体化能力成熟度模型GB/T 42560-2023
标准下载:证券期货业信息系统渗透测试指南JR/T 0276-2023

原文始发于微信公众号(河南等级保护测评):LockBit 3.0 勒索软件构建器泄露导致数百个新变种

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月28日01:39:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   LockBit 3.0 勒索软件构建器泄露导致数百个新变种http://cn-sec.com/archives/1983478.html

发表评论

匿名网友 填写信息