Lockbit 3.0 和 Blackmatter 勒索软件之间的奇怪相似之处

研究人员发现 LockBit 3.0 勒索软件和 BlackMatter 之间有相似之处，后者是 DarkSide 勒索软件的更名变体。

网络安全研究人员发现最新版本的 LockBit 勒索软件 LockBit 3.0和 BlackMatter勒索软件之间存在相似之处。

Lockbit  3.0 勒索软件 于 6 月发布，具有重要的创新功能，例如漏洞赏金计划、Zcash 支付和新的勒索策略。该团伙至少自 2019 年以来一直活跃，如今它是最活跃的勒索软件团伙之一。

勒索软件将扩展名“HLJkNskOq”或“19MqZqZ0s”附加到加密文件的文件名中，并将其图标更改为.ico文件的图标。

赎金票据引用了“伊隆马斯克”和欧盟的通用数据保护条例 (GDPR)。

感染过程完成后，勒索软件会更改机器的壁纸，以通知它们受到攻击。

在调试 Lockbit 3.0 样本时，趋势科技研究人员注意到 LockBit 3.0 代码的多个部分是从 BlackMatter 勒索软件中借用的。

“从我们 对解压样本的检查 和研究员 Chuong Dong提供的分析中，我们发现 LockBit 3.0 需要一个 pass 参数来解密其主程序。” 阅读趋势科技发布的分析。”LockBit 3.0 通过对 DLL 的 API 名称进行哈希处理，然后将其与勒索软件所需的 API 列表进行比较来执行 API 收集。此例程与 BlackMatter 的例程相同，因为 用于重命名 BlackMatter API的外部可用脚本 也适用于 LockBit 3.0。”

专家们强调了与 BlackMatter 用于识别 API 以执行不同活动的权限提升和收集例程的相似之处。

此外，LockBit 的最新变体还检查受害机器的 UI 语言，以避免使用独立国家联合体 (CIS) 国家使用的这些语言感染机器。

影子副本的删除由 Lockbit 3.0 实现，BlackMatter 通过 COM 对象使用 Windows Management Instrumentation (WMI)。专家指出 LockBit 2.0 使用 vssadmin.exe 进行删除。

“随着这个最新变种的发布——以及 LockBit 的漏洞赏金计划的推出，它奖励其附属机构——我们预计 LockBit 勒索软件组织在未来几天会更加活跃。” 报告结束。“我们建议组织和最终用户对这种新变种保持警惕，特别是因为漏洞赏金计划可能会帮助运营商使他们的勒索软件变得更加强大。”