«Позеленевший» вымогатель данных разработан на основе нашумевшего Conti.
Банда вымогателей [URL='/glossary/LockBit/" class="glossary" data-content=" LockBit - это операторы одноименного вируса-шифровальщика, одной их характерных черт поведения которых является тактика двойного давления. Она заключается в том, чтобы скопировать файлы атакованной компании перед тем, как их повредить. После этого Lockbit обещает опубликовать конфиденциальную информацию жертвы, если она в скором времени не заплатит выкуп.
" data-html="true" data-original-title="LockBit" >LockBit[/URL] снова начала использовать сторонние шифровальщики в своих атаках. На этот раз злоумышленники воспользовались программой, основанной на утечке исходного кода Conti.
С момента начала своей активности LockBit использовала множество вариаций различных шифровальщиков данных. На этой неделе коллектив кибербезопасности VX-Underground впервые сообщил, что вышеупомянутая банда теперь использует новый шифровальщик под названием «LockBit Green», основанный на утечке исходного кода некогда популярной программы Conti.
Банда вымогателей Conti была расформирована в мае прошлого года после серии утечек данных. В сеть было слито около 170 тысяч внутренних сообщений киберпреступников, а также исходный код одноимённого шифровальщика. Вскоре после утечки исходного кода Conti — другие хакерские группировки начали использовать его для создания своих собственных шифровальщиков.
Аналитик вредоносных программ, известный как CyberGeeksTech, произвёл обратную разработку (reverse-engineering) полученного образца LockBit Green и сообщил, что он определенно основан на шифраторе Conti. «Странно, что они [LockBit] решили создать полезную нагрузку на основе Conti, у них же есть свой собственный шифровальщик», — сообщил CyberGeeksTech.
При тестировании образца на виртуальной машине было замечено, что записка с требованием выкупа была изменена. Используется старый шаблон от LockBit 3.0.
Записка о выкупе LockBit Green Также было замечено, что новый шифровальщик добавляет к зашифрованным файлам расширение «.fc59d76b», а не «.lockbit», как это было раньше. Возможно, расширение не фиксированное, а отличается от запуска к запуску вредоноса.
Другое расширение зашифрованных файлов, используемое в LockBit Green Пока исследователи ломают голову, зачем группировка LockBit использует шифровальщик на основе Conti, в сети уже строят теории заговора. Некоторые специалисты по безопасности считают, что за LockBit Green как раз и стоят бывшие участники банды Conti, и им банально удобнее пользоваться своей собственной разработкой.
А как обстоят дела на самом деле — узнаем в будущем. Уверены, LockBit Green ещё даст о себе знать.
- Источник новости
- www.securitylab.ru