У співпраці з Національним агентством зі злочинності Великої Британії (NCA) Trend Micro проаналізувала версію шифрувальника LockBit, яка перебуває в розробці та не оприлюднила, у результаті чого вся лінійка продуктів стане непридатною для кіберзлочинців у майбутньому.
Як злочинна група LockBit була відома своїми інноваціями та пробуванням нових речей. У ході цієї інноваційної розробки LockBit випустила кілька версій свого програмного забезпечення-вимагача: від версії v1 (січень 2020 року) до LockBit 2.0 (під назвою «Red» з червня 2021 року) до LockBit 3.0 («Black» з березня 2022 року). У жовтні 2021 року зловмисник представив Linux. Нарешті, у січні 2023 року з’явилася проміжна версія «Green», яка містила код, очевидно, взятий із неіснуючої програми-вимагача Conti. Однак ця версія не була новою версією 4.0.
Останні виклики та занепад
Останнім часом група бореться з внутрішніми та зовнішніми проблемами, які загрожували її позиції та репутації як одного з провідних постачальників RaaS. До них належать фейкові дописи від жертв і нестабільна інфраструктура в операціях програм-вимагачів. Відсутність файлів для завантаження в імовірних публікаціях і нові правила для партнерів також ще більше погіршили відносини групи. Спроби залучити партнерів з конкуруючих груп і довгостроковий випуск нової версії LockBit також свідчать про втрату групи привабливості.
LockBit 4.0 перехоплено
Нещодавно ми змогли проаналізувати зразок того, що, на нашу думку, є версією незалежної від платформи шкідливої програми від LockBit, яка відрізняється від попередніх версій. Зразок додає суфікс «locked_for_LockBit» до зашифрованих файлів, який є частиною конфігурації, тому його можна змінити. Зважаючи на поточний стан розробки, ми назвали цей варіант LockBit-NG-Dev, який, на нашу думку, може стати основою для LockBit 4.0, над яким група, безперечно, працює.
Основні зміни включають наступне:
- LockBit-NG-Dev написано в .NET і скомпільовано за допомогою CoreRT. Коли код використовується разом із середовищем .NET, він не залежить від платформи.
- База коду є абсолютно новою через перехід на цю мову, а це означає, що, ймовірно, потрібно буде створити нові шаблони безпеки, щоб її виявити.
- Хоча він має менше функцій порівняно з v2 (червоний) і v3 (чорний), вони, ймовірно, будуть додані в міру розвитку. У поточному стані це все ще функціональне та потужне програмне забезпечення-вимагач.
- Можливість самостійно розповсюджувати та друкувати листи про викуп за допомогою принтерів користувача було видалено.
- Виконання тепер має термін дії шляхом перевірки поточної дати, що, ймовірно, допоможе операторам зберегти контроль над використанням афілійованих даних і ускладнить роботу автоматизованих систем аналізу охоронних компаній.
- Подібно до v3 (Black), ця версія все ще має конфігурацію, яка включає прапорці для підпрограм, список процесів і імен служб, які потрібно припинити, а також файлів і каталогів, яких слід уникати.
- Крім того, назви зашифрованих файлів можна перейменувати на випадкову назву.
Trend Micro також надає детальний технічний аналіз LockBit-NG-Dev онлайн у своїй статті англійського блогу.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.