Процесът на обратен инженеринг на LockBit 3.0, стартиран от специалистите на Sohpos преди време, разкрива, че рансъмуерът е възприел нови поведения, които затрудняват правилното му анализиране от страна на изследователите. В някои случаи шаблонът, който те се опитват да стартират, за да го проучат, изисква въвеждане на парола от 32 знака в командния ред на двоичния файл или той просто не заработва, обяснява авторът на проучването Андрю Бранд, който е главен изследовател в Sophos.

Той е убеден, че криптовирусът е свързан с групата BlackMatter, като отбелязва множество прилики. Те подсказват, че LockBit използва повторно кода на BlackMatter, по-специално трик за отстраняване на грешки, който прикрива извиквания на вътрешни функции от изследователи, подобни средства за "обфускация на низове", скриване на нишки, изброяване DNS имена на хостове, проверка и конфигурация на операционни системи. И двата криптовируса изпращат бележки за откуп до всички налични принтери, които успеят да намерят.

"Някои изследователи спекулират, че тясната връзка между кода на LockBit и BlackMatter показва възможно набиране на членове на BlackMatter от LockBit, закупуване на кодовата база на BlackMatter или сътрудничество между разработчици, коментира Андрю Бранд. Както отбелязахме в нашата бяла книга за множество нападатели по-рано тази година, не е необичайно групите за "рансъмуер" да си взаимодействат, било то целенасочено и дългосрочно или временно, на случаен принцип."

"Нашите анализи са още едно доказателство, че екосистемата от нападения с криптовируси е сложна и непостоянна. Групите използват повторно, заемат или направо крадат взаимно както идеи, така и кода и тактиките, както им хрумне. Сайтът, от който "изтече" LockBit 3.0, съдържа наред с други неща премия за грешки и награда за "брилянтни идеи". Това предполага, че бандата в частност не е склонна да плаща за иновации", добавя анализаторът.