Nispeten yeni Bl00Dy Ransomware Gang, şirketlere yönelik saldırılarda yakın zamanda sızdırılmış bir LockBit fidye yazılımı oluşturucuyu kullanmaya başladı.
Geçen hafta, LockBit 3.0 fidye yazılımı oluşturucu Twitter’da sızdırıldı LockBit operatörünün geliştiricisiyle arası açıldıktan sonra. Bu oluşturucu, herkesin, tehdit aktörlerinin saldırılar için kullanabileceği tamamen işlevsel bir şifreleyici ve şifre çözücü oluşturmasına olanak tanır.
Oluşturucu, farklı fidye notları, istatistik sunucuları ve özellikleri kullanmak üzere kolayca özelleştirilebilen bir yapılandırma dosyası içerdiğinden, BleepingComputer, diğer tehdit aktörlerinin yakında kendi fidye yazılımlarını oluşturmak için oluşturucuyu kullanacağını öngördü.
Ne yazık ki, tahminlerimiz gerçekleşti ve ‘Bl00Dy Ransomware Gang’ adlı nispeten yeni bir fidye yazılımı grubu, oluşturucuyu Ukraynalı bir varlığa yönelik bir saldırıda zaten kullandı.
Bl00dy Fidye Yazılım Çetesi
Olarak ilk rapor edilen DataBreaches.net tarafından, Bl00Dy Ransomware Gang, New York’ta bir grup tıbbi ve dişçilik uygulamasını hedefledikleri Mayıs 2022 civarında faaliyete başladı.
İnsan tarafından işletilen diğer fidye yazılımı operasyonları gibi, tehdit aktörleri bir ağı ihlal eder, kurumsal verileri çalar ve cihazları şifreler. Ancak, mağdurları şantaj yapmak ve çalınan verileri yayınlamak için bir Tor veri sızıntısı sitesi kullanmak yerine, tehdit aktörleri aynı amaç için bir Telegram kanalı kullanıyor.
Bu açıkça bir ‘fidye yazılımı’ çetesi olsa da, tehdit aktörleri bağımsız olarak fidye yazılımı geliştirmiyor gibi görünüyor. Bunun yerine, sızdırılmış oluşturucuları ve aşağıdakiler gibi diğer fidye yazılımı işlemlerinin kaynak kodunu kullanarak şifreleyiciler oluştururlar. toz [VirusTotal] ve Conti [VirusTotal].
Pazartesi günü, siber güvenlik araştırmacısı Vladislav Radetskiy piyasaya sürülmüş rapor Ukraynalı bir kurbana yapılan saldırıda bulunan yeni bir Bl00Dy Ransomware Gang şifreleyici üzerinde.
Bununla birlikte, ‘filedecryptionsupport@msgsafe.io’ e-postası daha önce bir şifreleyicide olduğundan, fidye yazılımının Conti’ye mi yoksa LockBit’e mi dayalı olduğu belirsizdi. sızdırılmış Conti kaynak kodu.
Araştırmacı MalwareHunterTeam daha sonra onaylandı şifreleyicinin yakın zamanda piyasaya sürülen LockBit 3.0 oluşturucu kullanılarak oluşturulduğunu. An Intezer taraması ayrıca Bl00dy ve LockBit 3.0 şifreleyicileri arasında çok fazla kod çakışması olduğunu gösterdi.
BleepingComputer, Bl00dy Ransomware Gang’ın şifreleyicisine bir test yaptı ve bu yeni şifreleyici ile öncekiler arasında bazı farklılıklar buldu.
Geçmiş kampanyalarda, tehdit aktörleri şunları ekledi: .bl00dy şifreli dosyalar için uzantı. Ancak, bu LockBit 3.0 oluşturucusunda özelleştirilebilir bir seçenek olmadığından, tehdit aktörleri, şifreleyici oluşturulduğunda belirlenen uzantıları kullanarak bırakılır.
Fidye notuna gelince, dosya adları hala LockBit stilinde oluşturuluyor, ancak tehdit aktörleri bunları aşağıda gösterildiği gibi kendi metin ve iletişim bilgilerini içerecek şekilde özelleştirdi.
Sonuç olarak, bu bir LockBit 3.0 fidye yazılımı şifreleyicisidir, bu nedenle güvenlik araştırmacıları tarafından daha önce bildirilen tüm özellikleri destekler.
Bl00dy Ransomware Gang’in, tespit edilmekten kaçınmak veya çeşitli özelliklerden yararlanmak için gerektiğinde fidye yazılımı aileleri arasında geçiş yaptığını görmek şaşırtıcı olmaz.
LockBit operasyonu Eylül 2019’da başladı ve o zamandan beri şu anda en aktif, zengin özelliklere sahip Hizmet olarak Fidye Yazılım operasyonlarından biri haline geldi.
LockBit 3.0 (önceki değeri) Haziran 2022’de yayınlandı yeni gasp taktikleri, BlackMatter kodunu kullanan yeniden tasarlanmış bir şifreleyici ve ilk fidye yazılımı hata ödül programı.
Sızan LockBit 3.0 fidye yazılımı oluşturucu, diğer tehdit aktörleri tarafından kolayca özelleştirilebildiğinden, yakında diğer tehdit aktörlerinin bunu kendi saldırılarında kullandığını göreceğiz.