Разработчиците на рансъмуера LockBit тайно създават нова версия на своя зловреден софтуер за криптиране на файлове, наречена LockBit-NG-Dev, която вероятно ще се превърне в LockBit 4.0, когато правоприлагащите органи разбиха инфраструктурата на киберпрестъпниците по-рано тази седмица.
В резултат на сътрудничеството с Националната агенция за борба с престъпността в Обединеното кралство компанията за киберсигурност Trend Micro анализира образец на най-новата разработка на LockBit, която може да работи на множество операционни системи.
LockBit от следващо поколение
Докато предишните зловредни програми на LockBit са създадени на C/C++, най-новата извадка е разработка в процес на разработка, написана на .NET, която изглежда е компилирана с CoreRT и е опакована с MPRESS.
Trend Micro казва, че зловредният софтуер включва конфигурационен файл във формат JSON, който очертава параметрите на изпълнение, като например диапазон на датата на изпълнение, подробности за бележката за откуп, уникални идентификатори, публичен ключ RSA и други оперативни флагове.
Декриптирана конфигурация (Trend Micro)
Въпреки че според фирмата за сигурност новият криптограф не разполага с някои функции, присъстващи в предишните итерации (напр. възможност за саморазпространение в нарушени мрежи, отпечатване на бележки за откуп на принтерите на жертвата), изглежда, че той е в последен етап на разработка и вече предлага повечето от очакваните функционалности.
Поддържа три режима на криптиране (с използване на AES+RSA), а именно „бърз“, „прекъсващ“ и „пълен“, има възможност за изключване на потребителски файлове или директории и може да променя произволно имената на файловете, за да усложни усилията за възстановяване.
Файл, криптиран в периодичен режим (Trend Micro)
Допълнителните опции включват механизъм за самоизтриване, който презаписва съдържанието на собствените файлове на LockBit с нулеви байтове.
Trend Micro публикува задълбочен технически анализ на зловредния софтуер, който разкрива пълните параметри на конфигурацията на LockBit-NG-Dev.
Откриването на новия шифровчик LockBit е поредният удар, който правоприлагащите органи нанасят на операторите на LockBit чрез операция Cronos. Дори ако резервните сървъри все още се контролират от бандата, възстановяването на киберпрестъпния бизнес би трябвало да е трудно предизвикателство, когато изходният код на криптиращия зловреден софтуер е известен на изследователите по сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
