यूके की राष्ट्रीय अपराध एजेंसी (एनसीए) के सहयोग से, ट्रेंड माइक्रो ने लॉकबिट एन्क्रिप्टर के इन-डेवलपमेंट और अप्रकाशित संस्करण का विश्लेषण किया, जिससे भविष्य में साइबर अपराधियों के लिए संपूर्ण उत्पाद लाइन अनुपयोगी हो गई।
एक आपराधिक समूह के रूप में, लॉकबिट नई चीज़ों को नया करने और आज़माने के लिए जाना जाता था। इस अभिनव विकास के दौरान, लॉकबिट ने अपने रैंसमवेयर के कई संस्करण जारी किए हैं, संस्करण v1 (जनवरी 2020) से लॉकबिट 2.0 (उपनाम "रेड", जून 2021 से) से लॉकबिट 3.0 ("ब्लैक", मार्च 2022 तक)। अक्टूबर 2021 में, थ्रेट एक्टर ने लिनक्स पेश किया। अंततः, जनवरी 2023 में एक अंतरिम संस्करण "ग्रीन" सामने आया, जिसमें कोड था जो स्पष्ट रूप से निष्क्रिय कोंटी रैनसमवेयर से लिया गया था। हालाँकि, यह संस्करण नया संस्करण 4.0 नहीं था।
हाल की चुनौतियाँ और गिरावट
हाल ही में, समूह आंतरिक और बाह्य दोनों तरह के मुद्दों से जूझ रहा है, जिसने अग्रणी RaaS प्रदाताओं में से एक के रूप में इसकी स्थिति और प्रतिष्ठा को खतरे में डाल दिया है। इनमें पीड़ितों के फर्जी पोस्ट और रैंसमवेयर ऑपरेशन में अस्थिर बुनियादी ढांचा शामिल हैं। कथित प्रकाशनों में गायब डाउनलोड फ़ाइलें और साझेदारों के लिए नए नियमों ने भी समूह के रिश्तों को और तनावपूर्ण बना दिया है। प्रतिस्पर्धी समूहों से साझेदारों की भर्ती के प्रयास और नए लॉकबिट संस्करण की लंबे समय से विलंबित रिलीज से भी समूह के आकर्षण में कमी का संकेत मिलता है।
लॉकबिट 4.0 इंटरसेप्ट किया गया
हम हाल ही में उस नमूने का विश्लेषण करने में सक्षम थे जिसे हम लॉकबिट के प्लेटफ़ॉर्म-स्वतंत्र मैलवेयर का इन-डेवलपमेंट संस्करण मानते हैं जो पिछले संस्करणों से भिन्न है। नमूना एन्क्रिप्टेड फ़ाइलों में प्रत्यय "locked_for_LockBit" जोड़ता है, जो कॉन्फ़िगरेशन का हिस्सा है और इसलिए इसे अभी भी बदला जा सकता है। विकास की वर्तमान स्थिति के कारण, हमने इस संस्करण को लॉकबिट-एनजी-डेव नाम दिया है, जिसके बारे में हमारा मानना है कि यह लॉकबिट 4.0 का आधार बन सकता है, जिस पर समूह निश्चित रूप से काम कर रहा है।
मूलभूत परिवर्तनों में निम्नलिखित शामिल हैं:
- LockBit-NG-Dev को .NET में लिखा गया है और CoreRT के साथ संकलित किया गया है। जब कोड का उपयोग .NET वातावरण के साथ किया जाता है, तो यह प्लेटफ़ॉर्म स्वतंत्र होता है।
- इस भाषा पर स्विच करने के कारण कोड आधार पूरी तरह से नया है, जिसका अर्थ है कि इसका पता लगाने के लिए नए सुरक्षा पैटर्न बनाने की आवश्यकता होगी।
- हालाँकि इसमें v2 (रेड) और v3 (ब्लैक) की तुलना में कम सुविधाएँ हैं, लेकिन विकास जारी रहने पर इन्हें जोड़े जाने की संभावना है। जैसा कि यह खड़ा है, यह अभी भी एक कार्यात्मक और शक्तिशाली रैंसमवेयर है।
- उपयोगकर्ता के प्रिंटर के माध्यम से फिरौती नोट स्वयं वितरित करने और प्रिंट करने की क्षमता हटा दी गई है।
- निष्पादन में अब वर्तमान तिथि की जाँच करके एक वैधता अवधि है, जिससे ऑपरेटरों को संबद्ध उपयोग पर नियंत्रण बनाए रखने में मदद मिलेगी और सुरक्षा कंपनियों की स्वचालित विश्लेषण प्रणालियों के लिए यह कठिन हो जाएगा।
- V3 (ब्लैक) के समान, इस संस्करण में अभी भी एक कॉन्फ़िगरेशन है जिसमें रूटीन के लिए झंडे, प्रक्रियाओं की एक सूची और सेवा नामों को समाप्त करना, और फ़ाइलों और निर्देशिकाओं से बचना शामिल है।
- इसके अतिरिक्त, एन्क्रिप्टेड फ़ाइलों के फ़ाइल नाम को अभी भी यादृच्छिक नाम में बदला जा सकता है।
ट्रेंड माइक्रो अपने अंग्रेजी ब्लॉग लेख में लॉकबिट-एनजी-डेव का एक विस्तृत तकनीकी विश्लेषण भी ऑनलाइन प्रदान करता है।
TrendMicro.com पर अधिक
ट्रेंड माइक्रो के बारे में आईटी सुरक्षा के दुनिया के अग्रणी प्रदाताओं में से एक के रूप में, ट्रेंड माइक्रो डिजिटल डेटा एक्सचेंज के लिए एक सुरक्षित दुनिया बनाने में मदद करता है। 30 से अधिक वर्षों की सुरक्षा विशेषज्ञता, वैश्विक खतरा अनुसंधान और निरंतर नवाचार के साथ, ट्रेंड माइक्रो व्यवसायों, सरकारी एजेंसियों और उपभोक्ताओं के लिए सुरक्षा प्रदान करता है। हमारी XGen™ सुरक्षा रणनीति के लिए धन्यवाद, हमारे समाधान अग्रणी-एज वातावरण के लिए अनुकूलित रक्षा तकनीकों के एक क्रॉस-जेनरेशनल संयोजन से लाभान्वित होते हैं। नेटवर्क की खतरे की जानकारी बेहतर और तेज सुरक्षा को सक्षम बनाती है। क्लाउड वर्कलोड, एंडपॉइंट्स, ईमेल, IIoT और नेटवर्क के लिए अनुकूलित, हमारे कनेक्टेड समाधान तेजी से खतरे का पता लगाने और प्रतिक्रिया के लिए पूरे उद्यम में केंद्रीकृत दृश्यता प्रदान करते हैं।