WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tìm thấy nhiều điểm tương đồng giữa ransomware LockBit 3.0 và BlackMatter
Các nhà nghiên cứu đã chỉ ra nhiều điểm tương đồng giữa ransomware LockBit 3.0 và BlackMatter, một biến thể đổi tên của DarkSide đã dừng hoạt động vào tháng 11 năm 2021.
Phiên bản mới của LockBit, còn gọi là LockBit 3.0 hay LockBit Black được phát hành vào tháng 6/2022, kèm theo đó là một trang web rò rỉ thông tin hoàn toàn mới, một chương trình bug bounty và tùy chọn thanh toán tiền điện tử Zcash.
Quá trình mã hóa của LockBit 3.0 gồm thêm phần mở rộng "HLJkNskOq" hoặc "19MqZqZ0s" vào từng tệp và thay đổi biểu tượng của các tệp bị khóa thành biểu tượng của tệp .ico được ‘thả’ trước đó để lây nhiễm.
Theo Trend Micro, ransomware này sau đó đưa ra thông báo đòi tiền chuộc và thay đổi hình nền của máy nạn nhân để cho họ biết về cuộc tấn công ransomware.
Điểm tương đồng của LockBit với BlackMatter là sự chồng chéo trong quy trình thu thập và leo thang đặc quyền được sử dụng để xác định các API cần thiết nhằm kết thúc các tiến trình và các chức năng khác cũng như việc sử dụng các kỹ thuật chống gỡ lỗi và phân luồng để cản trở phân tích.
Ransowmare này cũng sử dụng đối số "-pass" để giải mã routine chính của nó, một hành vi được thấy trong dòng ransomware không còn tồn tại có tên Egregor, khiến nhị phân khó đảo ngược hơn nếu không có sẵn tham số.
Ngoài ra, LockBit 3.0 được thiết kế để kiểm tra ngôn ngữ hiển thị của máy nạn nhân nhằm tránh làm ảnh hưởng đến các hệ thống liên kết với các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS).
"Hành vi đáng chú ý đối với phiên bản LockBit thứ ba này là kỹ thuật xóa tệp: thay vì sử dụng cmd.exe để thực thi một tệp batch hoặc lệnh có chức năng xóa, nó sẽ thả và thực thi tệp .tmp được giải mã từ tệp nhị phân".
Sau đó, tệp .tmp này sẽ ghi đè nội dung của tệp nhị phân ransomware và đổi tên tệp nhị phân nhiều lần, trong đó tên tệp mới dựa trên độ dài của tên tệp gốc, bao gồm cả phần mở rộng, nhằm ngăn chặn khả năng khôi phục.
Phát hiện được đưa ra khi LockBit, hoạt động theo mô hình ransomware-as-a-service (RaaS), đang trở thành ransomware hoạt động tích cực nhất năm 2022.
Theo Palo Alto Networks, trong 600 vụ xâm nhập liên quan đến ransowmare được xử lý từ tháng 5/2021 đến tháng 4/2022, dòng LockBit chiếm 14%, chỉ đứng sau Conti với 22%.
Phát triển này cũng nhấn mạnh sự thành công của mô hình RaaS, hạ thấp rào cản gia nhập cho kẻ tống tiền và mở rộng phạm vi tiếp cận của ransomware.
Phân tích của Check Point về xu hướng tấn công mạng trong quý 2/2022 cho thấy, trung bình hằng tuần, cứ 40 tổ chức bị tấn công thì có 1 tổ chức bị ảnh hưởng bởi ransomware, tăng 59% so với cùng kỳ năm ngoái (cứ 64 tổ chức bị tấn công thì có 1 tổ chức bị tấn công bởi ransowmare).
"Châu Mỹ Latinh chứng kiến sự gia tăng nhiều nhất của các cuộc tấn công, trung bình hằng tuần, cứ 23 tổ chức bị tấn công thì có 1 tổ chức bị ảnh hưởng bởi ransomware, tăng 43% so với cùng kỳ năm trước. Tiếp theo là châu Á, tăng 33%, với 17 tổ chức bị tấn công hằng tuần thì có 1 tổ chức bị ảnh hưởng".
Phiên bản mới của LockBit, còn gọi là LockBit 3.0 hay LockBit Black được phát hành vào tháng 6/2022, kèm theo đó là một trang web rò rỉ thông tin hoàn toàn mới, một chương trình bug bounty và tùy chọn thanh toán tiền điện tử Zcash.
Quá trình mã hóa của LockBit 3.0 gồm thêm phần mở rộng "HLJkNskOq" hoặc "19MqZqZ0s" vào từng tệp và thay đổi biểu tượng của các tệp bị khóa thành biểu tượng của tệp .ico được ‘thả’ trước đó để lây nhiễm.
Theo Trend Micro, ransomware này sau đó đưa ra thông báo đòi tiền chuộc và thay đổi hình nền của máy nạn nhân để cho họ biết về cuộc tấn công ransomware.
Điểm tương đồng của LockBit với BlackMatter là sự chồng chéo trong quy trình thu thập và leo thang đặc quyền được sử dụng để xác định các API cần thiết nhằm kết thúc các tiến trình và các chức năng khác cũng như việc sử dụng các kỹ thuật chống gỡ lỗi và phân luồng để cản trở phân tích.
Ransowmare này cũng sử dụng đối số "-pass" để giải mã routine chính của nó, một hành vi được thấy trong dòng ransomware không còn tồn tại có tên Egregor, khiến nhị phân khó đảo ngược hơn nếu không có sẵn tham số.
Ngoài ra, LockBit 3.0 được thiết kế để kiểm tra ngôn ngữ hiển thị của máy nạn nhân nhằm tránh làm ảnh hưởng đến các hệ thống liên kết với các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS).
"Hành vi đáng chú ý đối với phiên bản LockBit thứ ba này là kỹ thuật xóa tệp: thay vì sử dụng cmd.exe để thực thi một tệp batch hoặc lệnh có chức năng xóa, nó sẽ thả và thực thi tệp .tmp được giải mã từ tệp nhị phân".
Sau đó, tệp .tmp này sẽ ghi đè nội dung của tệp nhị phân ransomware và đổi tên tệp nhị phân nhiều lần, trong đó tên tệp mới dựa trên độ dài của tên tệp gốc, bao gồm cả phần mở rộng, nhằm ngăn chặn khả năng khôi phục.
Phát hiện được đưa ra khi LockBit, hoạt động theo mô hình ransomware-as-a-service (RaaS), đang trở thành ransomware hoạt động tích cực nhất năm 2022.
Theo Palo Alto Networks, trong 600 vụ xâm nhập liên quan đến ransowmare được xử lý từ tháng 5/2021 đến tháng 4/2022, dòng LockBit chiếm 14%, chỉ đứng sau Conti với 22%.
Phát triển này cũng nhấn mạnh sự thành công của mô hình RaaS, hạ thấp rào cản gia nhập cho kẻ tống tiền và mở rộng phạm vi tiếp cận của ransomware.
Phân tích của Check Point về xu hướng tấn công mạng trong quý 2/2022 cho thấy, trung bình hằng tuần, cứ 40 tổ chức bị tấn công thì có 1 tổ chức bị ảnh hưởng bởi ransomware, tăng 59% so với cùng kỳ năm ngoái (cứ 64 tổ chức bị tấn công thì có 1 tổ chức bị tấn công bởi ransowmare).
"Châu Mỹ Latinh chứng kiến sự gia tăng nhiều nhất của các cuộc tấn công, trung bình hằng tuần, cứ 23 tổ chức bị tấn công thì có 1 tổ chức bị ảnh hưởng bởi ransomware, tăng 43% so với cùng kỳ năm trước. Tiếp theo là châu Á, tăng 33%, với 17 tổ chức bị tấn công hằng tuần thì có 1 tổ chức bị ảnh hưởng".
Theo The Hacker News
Chỉnh sửa lần cuối: