CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O nouă variantă a ransomware-ului LockBit

Sursa: https://www.bleepingcomputer.com/

Dezvoltatorii ransomware-ului LockBit au dezvoltat în secret o nouă versiune a malware-ului lor de criptare a fișierelor, numit LockBit-NG-Dev – cel mai probabil pentru a deveni LockBit 4.0.

Compania de securitate cibernetică Trend Micro a analizat un eșantion al celei mai recente dezvoltări LockBit care poate funcționa pe mai multe sisteme de operare.

Varianta anterioară de LockBit era dezvoltată în C/C++, eșantionul cel mai recent este un proiect în desfășurare scris în .NET care pare să fie compilat cu CoreRT și împachetat cu MPRESS.

Trend Micro afirmă că malware-ul include un fișier de configurare în format JSON care descrie parametrii de executare, cum ar fi intervalul de date de executare, detalii despre nota de răscumpărare, ID-urile unice, cheia publică RSA și alți indicatori.

Malware-ul suportă trei moduri de criptare (folosind AES+RSA), și anume „rapid”, „intermitent” și „complet”, are excluderea personalizată a fișierelor sau directoarelor și poate să schimbe numele fișierelor aleatoriu astfel încât procesul de restaurare a datelor să fie mai dificil.

Opțiunile suplimentare includ un mecanism de auto-ștergere care suprascrie conținutul propriului fișier LockBit cu octeți nuli.

Chiar dacă serverele de backup încă sunt controlate de gruparea ransomware, este puțin probabil ca infrastructura să fie reconstruită.

Sursa: https://www.bleepingcomputer.com/news/security/lockbit-ransomware-secretly-building-next-gen-encryptor-before-takedown/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |