Siber güvenlik araştırmacıları, LockBit fidye yazılımının en son yinelemesi ile Kasım 2021’de mağazayı kapatan DarkSide fidye yazılımı türünün yeniden markalanmış bir çeşidi olan BlackMatter arasındaki benzerlikleri yinelediler.
LockBit 3.0 olarak da bilinen LockBit Black adlı yeni LockBit sürümü, Haziran 2022’de piyasaya sürüldü ve yepyeni bir sızıntı sitesi ve kripto para ödeme seçeneği olarak Zcash’in yanı sıra ilk fidye yazılımı hata ödül programı olan ilk fidye yazılımı başlattı.
Şifreleme işlemi, her dosyaya “HLJkNskOq” veya “19MqZqZ0s” uzantısının eklenmesini ve enfeksiyonu başlatmak için kilitli dosyaların simgelerini LockBit örneği tarafından bırakılan .ico dosyasının simgeleriyle değiştirmeyi içerir.
Trend Micro araştırmacıları, “Fidye yazılımı daha sonra ‘Ilon Musk’ ve Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) atıfta bulunan fidye notunu bırakıyor. söz konusu Pazartesi raporunda. “Son olarak, fidye yazılımı saldırısı hakkında onları bilgilendirmek için kurbanın makinesinin duvar kağıdını değiştirir.”
LockBit’in BlackMatter ile kapsamlı benzerlikleri, süreçleri ve diğer işlevleri sonlandırmak için gereken API’leri belirlemek için kullanılan ayrıcalık yükseltme ve toplama rutinlerindeki çakışmaların yanı sıra analizi engellemek için tasarlanmış hata giderme ve iş parçacığı oluşturma tekniklerinin kullanımından gelir.
Ayrıca, ana rutininin şifresini çözmek için bir “-pass” argümanı kullanması, Egregor adlı başka bir feshedilmiş fidye yazılımı ailesinde görülen ve parametre mevcut değilse ikiliyi tersine çevirmeyi etkili bir şekilde zorlaştıran bir davranıştır.
Ayrıca LockBit 3.0, Bağımsız Devletler Topluluğu (CIS) devletleriyle ilişkili sistemlerden ödün vermemek için kurban makinenin görüntü dilini kontrol etmek üzere tasarlanmıştır.
Araştırmacılar, “Bu üçüncü LockBit sürümü için dikkate değer bir davranış, dosya silme tekniğidir: Bir toplu iş dosyasını veya silme işlemini gerçekleştirecek komutu yürütmek için cmd.exe kullanmak yerine, ikili dosyadan şifresi çözülen bir .tmp dosyasını bırakır ve yürütür.” söz konusu.
Bu .tmp dosyası daha sonra fidye yazılımı ikili dosyasının içeriğinin üzerine yazar ve daha sonra adli araçlar ve kapak tarafından kurtarmayı önlemek amacıyla, uzantı da dahil olmak üzere orijinal dosya adının uzunluğuna dayalı olarak yeni dosya adlarıyla ikili dosyayı birkaç kez yeniden adlandırır. onun izleri.
LockBit enfeksiyonları ortaya çıktıkça bulgular ortaya çıktı. en aktif 2022’de hizmet olarak fidye yazılımı (RaaS) grupları, iddiaya göre en son olmak İtalyan Gelir İdaresi Başkanlığı (L’Agenzia delle Entrate).
Palo Alto Networks’e göre 2022 Birim 42 Olay Müdahale Raporu Mayıs 2021 ile Nisan 2022 arasında ele alınan 600 vakaya dayanarak bugün yayınlanan fidye yazılımı ailesi, izinsiz girişlerin %14’ünü oluşturuyor ve %22 ile Conti’den sonra ikinci sırada yer alıyor.
Gelişme aynı zamanda RaaS iş modelinin devam eden başarısını vurgulayarak, gaspçıların giriş engelini azaltıyor ve fidye yazılımlarının erişimini genişletiyor.
Check Point’in 2022’nin ikinci çeyreği için siber saldırı eğilimleri analizi, fidye yazılımlarından etkilenen kuruluşların haftalık ortalamasının, 2021’in ikinci çeyreğinde 64 kuruluştan birinden yıllık %59 artışla 40’ta birine ulaştığını gösteriyor.
“Latin Amerika, saldırılarda en büyük artışı gördü, haftalık olarak etkilenen 23 kuruluştan biri, 2021’in ikinci çeyreğindeki 33 kuruluştan birine kıyasla yıllık %43’lük bir artış gördü ve onu bir önceki yılın aynı dönemine göre %33 artış gösteren Asya bölgesi izledi. İsrail siber güvenlik firması, haftalık olarak etkilenen 17 kuruluştan biri” dedi. söz konusu.
