Em colaboração com a Agência Nacional do Crime (NCA) do Reino Unido, a Trend Micro analisou a versão em desenvolvimento e não lançada do criptografador LockBit, tornando toda a linha de produtos inutilizável para cibercriminosos no futuro.
Como grupo criminoso, o LockBit era conhecido por inovar e tentar coisas novas. No decorrer deste desenvolvimento inovador, a LockBit lançou diversas versões do seu ransomware, desde a versão v1 (janeiro de 2020) ao LockBit 2.0 (apelidado de “Red”, de junho de 2021) até ao LockBit 3.0 (“Black”, de março de 2022). Em outubro de 2021, o agente da ameaça apresentou o Linux. Finalmente, uma versão provisória “Verde” apareceu em janeiro de 2023, que continha código que aparentemente foi retirado do extinto ransomware Conti. No entanto, esta versão não era uma nova versão 4.0.
Desafios recentes e declínio
Recentemente, o grupo tem lutado com questões internas e externas que ameaçaram a sua posição e reputação como um dos principais fornecedores de RaaS. Isso inclui postagens falsas de vítimas e infraestrutura instável em operações de ransomware. A falta de arquivos para download em supostas publicações e as novas regras para parceiros também prejudicaram ainda mais os relacionamentos do grupo. As tentativas de recrutar parceiros de grupos concorrentes e o lançamento há muito esperado de uma nova versão do LockBit também indicam a perda de atratividade do grupo.
LockBit 4.0 interceptado
Recentemente, conseguimos analisar uma amostra do que acreditamos ser uma versão em desenvolvimento de um malware independente de plataforma da LockBit que difere das versões anteriores. O exemplo adiciona o sufixo “locked_for_LockBit” aos arquivos criptografados, que faz parte da configuração e, portanto, ainda pode ser alterado. Devido ao estado atual de desenvolvimento, nomeamos esta variante como LockBit-NG-Dev, que acreditamos que poderia formar a base para o LockBit 4.0, no qual o grupo certamente está trabalhando.
As mudanças fundamentais incluem o seguinte:
- LockBit-NG-Dev é escrito em .NET e compilado com CoreRT. Quando o código é usado em conjunto com o ambiente .NET, ele é independente de plataforma.
- A base de código é completamente nova devido à mudança para esta linguagem, o que significa que provavelmente será necessário criar novos padrões de segurança para detectá-la.
- Embora tenha menos recursos em comparação com v2 (vermelho) e v3 (preto), é provável que sejam adicionados à medida que o desenvolvimento continua. Tal como está, ainda é um ransomware funcional e poderoso.
- A capacidade de autodistribuir e imprimir notas de resgate através das impressoras do usuário foi removida.
- A execução agora tem prazo de validade por meio da verificação da data atual, o que provavelmente ajudará as operadoras a manter o controle sobre o uso dos afiliados e dificultará os sistemas de análise automatizada das empresas de segurança.
- Semelhante à v3 (Black), esta versão ainda possui uma configuração que inclui flags para rotinas, uma lista de processos e nomes de serviços a serem eliminados e arquivos e diretórios a serem evitados.
- Além disso, os nomes dos arquivos criptografados ainda podem ser renomeados para um nome aleatório.
A Trend Micro também fornece uma análise técnica detalhada do LockBit-NG-Dev on-line em seu artigo de blog em inglês.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.