多个威胁参与者使用泄露的LOCKBIT 3.0勒索软件构建器

2022年LockBit 3.0勒索软件构建器源代码的泄露使得威胁行为者能够创建新的威胁变体。

Lockbit v3（又名Lockbit Black）于2022年6月被发现，但该变体的构建器于 2022 年 9 月在网上泄露。构建器的可用性允许任何人创建自己的定制版本的勒索软件。卡巴斯基研究人员观察到，至少有两个不同的 Twitter 用户（@protonleaks 和 @ali_qushji）发布了创建不同风格的勒索软件所需的文件。

对时间戳的分析显示，两次泄漏的二进制文件 builder.exe 略有不同。“protonleaks 的版本记录了编译日期 2022/09/09。同时，ali_qushji的版本编译于2022/09/13。在恶意软件的模板二进制文件（用于构建准备分发的最终版本的恶意软件的嵌入式和不完整版本）中发现了类似的编译时间差异。” 

构建器泄露后不久，卡巴斯基研究人员在事件响应过程中发现了 Lockbit 3 勒索软件的变种。

该勒索软件变种是使用不同的勒索字条部署的，其标题与一个先前未知的组织（名为“国家危险机构”）相关。

赎金票据包括获取解密密钥所需支付的金额，并将通信定向到 Tox 服务和电子邮件，这与 Lockbit 组织不同，后者依赖自己的谈判平台。

其他威胁行为者也在攻击中使用了这种变体，例如 Bl00dy和Buhti。

卡巴斯基 分析了 396 个不同的样本，其中大多数（312 个）是由泄露的构建者创建的，但研究人员还发现了其他未知构建者于 2022 年 6 月和 7 月创建的样本。

专家们注意到，检测到的许多参数都与构建器的默认配置相对应，但只有一些参数包含较小的更改。这种情况表明这些样本可能是为了紧急需求而开发的，或者可能是由懒惰的参与者开发的。

大多数示例都会加密本地磁盘和网络共享，避免隐藏文件夹，并且不启用系统关闭选项。

专家注意到，90%的样本配置了PSEXEC网络部署，而72%的样本配置了GPO部署。有限数量的样本可实现与 C2 的通信。

“最后，一些统计数据与“原始”Lockbit 以外的参与者使用泄露的构建器有关。我们发现 77 个样本 在勒索信中没有提及“Lockbit”字符串（不区分大小写），根据 LB TTP 的说法，这是相当意外的。” 报告总结道。“修改后的赎金票据 没有提及 Lockbit 或使用 不同的联系地址（邮件/URL），这 表明除“原始”Lockbit 之外的其他参与者可能 滥用该构建器。“

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7850.html