Криптовирусът LockBit вече има способности на "червей" според инженерите на Sophos

Pixabay.com
Pete Linforth

Криптовирусът LockBit вече има способности на "червей" според инженерите на Sophos

Специалистите на Sophos са осъществили обратен инженеринг на криптовируса Lockbit 3.0, който хвърля нова светлина върху неговите развиващи се възможности и връзки с BlackMatter

Владимир Владков
338 прочитания

Pixabay.com

© Pete Linforth


Групата, създала мощния криптовирус LockBit, продължава да надгражда своя злонамерен софтуер. Новата, трета, версия на "рансъмуера" вече включва функционалност на "червей". Тя му позволява да се саморазпространява, което го прави по-лесен за използване. Освен това той показва и способности за замаскиране (т.нар. обфускация, или създаване на код, който е труден за разбиране от хората или компютрите), като по този начин се опитва да имитира дейността на легитимни тестери на проникване.

Специалисти от звеното за управлявано откриване и реагиране на заплахи (MDR) на Sophos са разгледали доказателства от серия атаки и са открили доказателства, че създателите на LockBit са експериментирали със скриптове, които му позволяват да се саморазпространява, използвайки обекти на групови правила на Windows (GPO) или инструмент PSExec, който според тях улеснява "рансъмуера" да се придвижва самостоятелно и да заразява други компютри.

Според екипа на MDR това значително ще улесни различните варианти на LockBit да заразяват своите жертви, ускорявайки времето за изпълнение на криптовируса. Той също така работи с разрешения, което означава, че не се нуждае непременно от администраторско ниво на достъп до своята жертва, за да причини щети.

Процесът на обратен инженеринг на LockBit 3.0, стартиран от специалистите на Sohpos преди време, разкрива, че рансъмуерът е възприел нови поведения, които затрудняват правилното му анализиране от страна на изследователите. В някои случаи шаблонът, който те се опитват да стартират, за да го проучат, изисква въвеждане на парола от 32 знака в командния ред на двоичния файл или той просто не заработва, обяснява авторът на проучването Андрю Бранд, който е главен изследовател в Sophos.

Той е убеден, че криптовирусът е свързан с групата BlackMatter, като отбелязва множество прилики. Те подсказват, че LockBit използва повторно кода на BlackMatter, по-специално трик за отстраняване на грешки, който прикрива извиквания на вътрешни функции от изследователи, подобни средства за "обфускация на низове", скриване на нишки, изброяване DNS имена на хостове, проверка и конфигурация на операционни системи. И двата криптовируса изпращат бележки за откуп до всички налични принтери, които успеят да намерят.

"Някои изследователи спекулират, че тясната връзка между кода на LockBit и BlackMatter показва възможно набиране на членове на BlackMatter от LockBit, закупуване на кодовата база на BlackMatter или сътрудничество между разработчици, коментира Андрю Бранд. Както отбелязахме в нашата бяла книга за множество нападатели по-рано тази година, не е необичайно групите за "рансъмуер" да си взаимодействат, било то целенасочено и дългосрочно или временно, на случаен принцип."

"Нашите анализи са още едно доказателство, че екосистемата от нападения с криптовируси е сложна и непостоянна. Групите използват повторно, заемат или направо крадат взаимно както идеи, така и кода и тактиките, както им хрумне. Сайтът, от който "изтече" LockBit 3.0, съдържа наред с други неща премия за грешки и награда за "брилянтни идеи". Това предполага, че бандата в частност не е склонна да плаща за иновации", добавя анализаторът.

Групата, създала мощния криптовирус LockBit, продължава да надгражда своя злонамерен софтуер. Новата, трета, версия на "рансъмуера" вече включва функционалност на "червей". Тя му позволява да се саморазпространява, което го прави по-лесен за използване. Освен това той показва и способности за замаскиране (т.нар. обфускация, или създаване на код, който е труден за разбиране от хората или компютрите), като по този начин се опитва да имитира дейността на легитимни тестери на проникване.

Специалисти от звеното за управлявано откриване и реагиране на заплахи (MDR) на Sophos са разгледали доказателства от серия атаки и са открили доказателства, че създателите на LockBit са експериментирали със скриптове, които му позволяват да се саморазпространява, използвайки обекти на групови правила на Windows (GPO) или инструмент PSExec, който според тях улеснява "рансъмуера" да се придвижва самостоятелно и да заразява други компютри.

Как да защитим работата на модерната фабрика
Съдържание от КОНТРАКС
Интелигентното видеонаблюдение влиза в умните фабрики
Съдържание от Коника Минолта Бизнес Солюшънс България
ERP системите в сърцето на умната фабрика
Съдържание от Тим ВИЖЪН България

Най-новото





ChatGPT изправя Google и Meta на нокти

ChatGPT изправя Google и Meta на нокти

  • 1
  • 137





Още от Digitalk ›
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК