专家发现新的LockBit 3.0和黑物质勒索软件有相似之处

网络安全研究人员重申了LockBit勒索软件的最新版本与BlackMatter之间的相似性，BlackMatter是黑暗勒索软件的一种改名变体，于2021 11月关闭了商店。

新版本的LockBit，称为LockBit 3.0又名LockBit Black，于2022年6月发布，推出了一个全新的泄密网站，这是第一个勒索软件漏洞悬赏计划，与Zcash一起作为加密货币支付选项。

它的加密过程包括在每个文件中附加扩展名“HLJkNskOq”或“19MqZqZ0s”，并将锁定文件的图标更改为锁位样本丢弃的.ico文件的图标，以启动感染。

趋势科技研究人员在周一的一份报告中表示：“勒索软件随后会丢弃其勒索记录，其中引用了‘伊隆·马斯克’和欧盟的《通用数据保护条例》（GDPR）”。“最后，它会更改受害者机器的壁纸，以告知他们勒索软件攻击”。

LockBit与BlackMatter的广泛相似之处在于特权提升和获取例程中的重叠，这些例程用于识别终止进程和其他功能所需的API，以及使用反调试和线程技术来阻止分析。

另外值得注意的是，它使用“-pass”参数来解密其主要例程，这是另一个已不存在的勒索软件家族Egregor中的一种行为，如果参数不可用，则有效地使二进制更难反转。

此外，LockBit 3.0旨在检查受害者机器的显示语言，以避免危及与独立国家联合体（CIS）国家相关的系统。

研究人员说：“第三个锁位版本的一个显著行为是它的文件删除技术：它不使用cmd.exe来执行执行删除的批处理文件或命令，而是删除并执行从二进制文件解密的.tmp文件”。

tmp文件然后覆盖勒索软件二进制文件的内容，然后根据原始文件名的长度（包括扩展名）使用新的文件名对二进制文件进行多次重命名，以防止通过取证工具进行恢复并覆盖其轨迹。

调查结果发布之际，锁位感染已成为2022年最活跃的勒索软件即服务（RaaS）团体，最近一个据称是意大利国税局（L'Agenzia delle Entrate）。

根据今天发布的Palo Alto Networks 2022第42单元事件响应报告，基于2021 5月至2022年4月期间处理的600起案件，勒索软件家族占入侵事件的14%，仅次于Conti，占22%。

这一发展也突显了RaaS商业模式的持续成功，降低了敲诈勒索者的进入壁垒，扩大了勒索软件的范围。

Check Point对2022年第二季度网络攻击趋势的分析表明，每周平均受到勒索软件影响的组织中有40个组织中有一个，与2021第二季度的64个组织中的一个相比，同比增长59%。