In collaborazione con la National Crime Agency (NCA) del Regno Unito, Trend Micro ha analizzato la versione in fase di sviluppo e inedita del crittografo LockBit, rendendo l'intera linea di prodotti inutilizzabile per i criminali informatici in futuro.
Come gruppo criminale, LockBit era noto per l'innovazione e il tentativo di cose nuove. Nel corso di questo sviluppo innovativo, LockBit ha rilasciato diverse versioni del suo ransomware, dalla versione v1 (gennaio 2020) a LockBit 2.0 (soprannominato “Red”, da giugno 2021) a LockBit 3.0 (“Black”, da marzo 2022). Nell'ottobre 2021, l'autore della minaccia ha introdotto Linux. Infine, nel gennaio 2023 è apparsa una versione provvisoria “Green”, che conteneva codice apparentemente preso dal defunto ransomware Conti. Tuttavia, questa versione non era una nuova versione 4.0.
Sfide recenti e declino
Recentemente, il gruppo ha dovuto affrontare problemi sia interni che esterni che ne hanno minacciato la posizione e la reputazione di uno dei principali fornitori RaaS. Questi includono post falsi delle vittime e infrastrutture instabili nelle operazioni di ransomware. Anche la mancanza di file da scaricare in presunte pubblicazioni e le nuove regole per i partner hanno ulteriormente messo a dura prova le relazioni del gruppo. Anche i tentativi di reclutare partner da gruppi concorrenti e il rilascio atteso da tempo di una nuova versione di LockBit indicano la perdita di attrattiva del gruppo.
LockBit 4.0 intercettato
Recentemente siamo stati in grado di analizzare un campione di quella che riteniamo essere una versione in sviluppo di un malware indipendente dalla piattaforma di LockBit che differisce dalle versioni precedenti. L'esempio aggiunge ai file crittografati il suffisso "locked_for_LockBit", che fa parte della configurazione e può quindi essere ancora modificato. A causa dell'attuale stato di sviluppo, abbiamo chiamato questa variante LockBit-NG-Dev, che riteniamo possa costituire la base per LockBit 4.0, su cui il gruppo sta sicuramente lavorando.
Le modifiche fondamentali includono quanto segue:
- LockBit-NG-Dev è scritto in .NET e compilato con CoreRT. Quando il codice viene utilizzato insieme all'ambiente .NET, è indipendente dalla piattaforma.
- La base del codice è completamente nuova a causa del passaggio a questo linguaggio, il che significa che probabilmente sarà necessario creare nuovi modelli di sicurezza per rilevarlo.
- Sebbene abbia meno funzionalità rispetto alla v2 (Rosso) e alla v3 (Nero), è probabile che queste verranno aggiunte man mano che lo sviluppo continua. Allo stato attuale, è ancora un ransomware funzionale e potente.
- La possibilità di autodistribuirsi e stampare richieste di riscatto tramite le stampanti dell'utente è stata rimossa.
- L'esecuzione ha ora un periodo di validità controllando la data corrente, il che probabilmente aiuterà gli operatori a mantenere il controllo sull'utilizzo degli affiliati e renderà più difficile il compito dei sistemi di analisi automatizzati delle società di sicurezza.
- Simile alla v3 (nera), questa versione ha ancora una configurazione che include flag per le routine, un elenco di processi e nomi di servizi da eliminare e file e directory da evitare.
- Inoltre, i nomi dei file crittografati possono comunque essere rinominati con un nome casuale.
Trend Micro fornisce anche un'analisi tecnica dettagliata di LockBit-NG-Dev online nel suo articolo sul blog inglese.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.