Segurança de TI: base para LockBit 4.0 desativada

25. Março 2024
| Sem comentários
Notícias da Trend Micro

Compartilhar postagem

Em colaboração com a Agência Nacional do Crime (NCA) do Reino Unido, a Trend Micro analisou a versão em desenvolvimento e não lançada do criptografador LockBit, tornando toda a linha de produtos inutilizável para cibercriminosos no futuro.

Como grupo criminoso, o LockBit era conhecido por inovar e tentar coisas novas. No decorrer deste desenvolvimento inovador, a LockBit lançou diversas versões do seu ransomware, desde a versão v1 (janeiro de 2020) ao LockBit 2.0 (apelidado de “Red”, de junho de 2021) até ao LockBit 3.0 (“Black”, de março de 2022). Em outubro de 2021, o agente da ameaça apresentou o Linux. Finalmente, uma versão provisória “Verde” apareceu em janeiro de 2023, que continha código que aparentemente foi retirado do extinto ransomware Conti. No entanto, esta versão não era uma nova versão 4.0.

Desafios recentes e declínio

Recentemente, o grupo tem lutado com questões internas e externas que ameaçaram a sua posição e reputação como um dos principais fornecedores de RaaS. Isso inclui postagens falsas de vítimas e infraestrutura instável em operações de ransomware. A falta de arquivos para download em supostas publicações e as novas regras para parceiros também prejudicaram ainda mais os relacionamentos do grupo. As tentativas de recrutar parceiros de grupos concorrentes e o lançamento há muito esperado de uma nova versão do LockBit também indicam a perda de atratividade do grupo.

LockBit 4.0 interceptado

Recentemente, conseguimos analisar uma amostra do que acreditamos ser uma versão em desenvolvimento de um malware independente de plataforma da LockBit que difere das versões anteriores. O exemplo adiciona o sufixo “locked_for_LockBit” aos arquivos criptografados, que faz parte da configuração e, portanto, ainda pode ser alterado. Devido ao estado atual de desenvolvimento, nomeamos esta variante como LockBit-NG-Dev, que acreditamos que poderia formar a base para o LockBit 4.0, no qual o grupo certamente está trabalhando.

As mudanças fundamentais incluem o seguinte:

  • LockBit-NG-Dev é escrito em .NET e compilado com CoreRT. Quando o código é usado em conjunto com o ambiente .NET, ele é independente de plataforma.
  • A base de código é completamente nova devido à mudança para esta linguagem, o que significa que provavelmente será necessário criar novos padrões de segurança para detectá-la.
  • Embora tenha menos recursos em comparação com v2 (vermelho) e v3 (preto), é provável que sejam adicionados à medida que o desenvolvimento continua. Tal como está, ainda é um ransomware funcional e poderoso.
  • A capacidade de autodistribuir e imprimir notas de resgate através das impressoras do usuário foi removida.
  • A execução agora tem prazo de validade por meio da verificação da data atual, o que provavelmente ajudará as operadoras a manter o controle sobre o uso dos afiliados e dificultará os sistemas de análise automatizada das empresas de segurança.
  • Semelhante à v3 (Black), esta versão ainda possui uma configuração que inclui flags para rotinas, uma lista de processos e nomes de serviços a serem eliminados e arquivos e diretórios a serem evitados.
  • Além disso, os nomes dos arquivos criptografados ainda podem ser renomeados para um nome aleatório.

A Trend Micro também fornece uma análise técnica detalhada do LockBit-NG-Dev on-line em seu artigo de blog em inglês.

Mais em TrendMicro.com

 

Sobre a Trend Micro

Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

notícias curtas, TrendMicro
, , , , , ,