专家发现新 LockBit 3.0 和 BlackMatter 勒索软件之间的相似之处

网络安全研究人员重申了 LockBit 勒索软件的最新版本与 BlackMatter 之间的相似之处，BlackMatter是 DarkSide 勒索软件菌株的更名变体，于 2021 年 11 月关闭商店。

LockBit的新版本，称为 LockBit 3.0 又名 LockBit Black，于 2022 年 6 月发布，推出了一个全新的泄密站点，这是第一个勒索软件漏洞赏金计划，以及 Zcash 作为加密货币支付选项。

其加密过程涉及将扩展名“HLJkNskOq”或“19MqZqZ0s”附加到每个文件，并将锁定文件的图标更改为 LockBit 样本删除的 .ico 文件的图标以启动感染。

趋势科技研究人员在周一的一份报告中说 “勒索软件随后放弃了勒索票据，其中提到了‘伊隆马斯克’和欧盟的通用数据保护条例 (GDPR)。” “最后，它会更改受害者机器的壁纸，以通知他们勒索软件的攻击。”

LockBit 与 BlackMatter 的广泛相似之处来自于权限提升和获取例程的重叠，这些例程用于识别终止进程和其他功能所需的 API，以及使用旨在阻止分析的反调试和线程技术。

另外值得注意的是它使用“-pass”参数来解密其主程序，这种行为在另一个名为Egregor的已解散勒索软件系列中看到，如果参数不可用，则有效地使二进制文件更难反转。

LockBit 3.0 变体和 BlackMatter 勒索软件

此外，LockBit 3.0 旨在检查受害机器的显示语言，以避免损害与独立国家联合体 (CIS) 国家相关的系统。

“第三个 LockBit 版本的一个值得注意的行为是它的文件删除技术：它不使用 cmd.exe 执行批处理文件或执行删除的命令，而是删除并执行从二进制文件中解密的 .tmp 文件，”研究人员说。

然后这个 .tmp 文件覆盖勒索软件二进制文件的内容，然后多次重命名二进制文件，新文件名基于原始文件名的长度，包括扩展名，以防止取证工具恢复并覆盖它的轨迹。

该调查结果发布之际，LockBit 感染已成为2022 年最活跃的勒索软件即服务 (RaaS) 组织，最近据称是意大利国税局 (L'Agenzia delle Entrate)。

根据今天发布的 Palo Alto Networks 2022 Unit 42 事件响应报告，该报告基于 2021 年 5 月至 2022 年 4 月期间处理的 600 起案件，勒索软件家族占入侵的 14%，仅次于 Conti 的 22%。

这一发展还凸显了 RaaS 商业模式的持续成功，降低了勒索者的进入门槛并扩大了勒索软件的范围。

Check Point 对 2022 年第二季度网络攻击趋势的分析显示，每周平均受到勒索软件影响的组织达到 40 个，比 2021 年第二季度的 64 个组织中的一个增加了 59%。“拉丁美洲的攻击增幅最大，发现每周受到影响的 23 个组织中有 1 个，同比增长 43%，而 2021 年第二季度为 33 个组织中的一个，其次是亚洲地区，同比增长 33%，达到每周有 17 个组织受到影响，”这家以色列网络安全公司表示。