Aphotostudio – stock.adobe.com
Die Sophos-Forscher freuen sich über das Reverse-Engineering der Lockbit 3.0-Ransomware, indem sie ihre sich entwickelnden Fähigkeiten in jüngster Zeit zurückweisen und die Verbindungen zu BlackMatter festigen
Von
- Alex Scroxton, Sicherheitsredakteur
Gedruckt: 30 Nov 2022 12:30
Das LockBit-Ransomware-Kartell im Rahmen des kürzlich entwickelten Instruments – NHS-Angriff passt sich weiterhin an und aktualisiert seine Schließfach-Malware, indem es neue wurmfähige Funktionen enthält, die es ihm ermöglichen, sich selbst zu verbreiten, wodurch es noch mehr wird einfach anzuwenden und Verschleierungsfunktionen, die es ihm ermöglichen, die Übungen legitimer Penetrationstester nachzuahmen.
Mitarbeiter der Managed Detection and Response (MDR)-Einheit von Sophos grübelten über Beweise aus Leaks und einer Reihe von Angriffen und stolperte über Beweise dafür, dass die Schöpfer von LockBit mit Skripten experimentiert hatten, die es ermöglichen, die Verwendung von Re selbst zu verbreiten Sidence Windows Crew Protection Objects (GPOs) oder das PSExec-Instrument, von denen sie sagen, dass es der Ransomware leichter gemacht wird, seitlich abzurutschen und andere Computer zu infizieren.
Bezeichnenderweise bestätigte das MDR-Team dies möglicherweise erheblich weniger als die technische Kleinarbeit, die LockBit-Freunde benötigen, um ihre Opfer zu infizieren und die Zeit bis zur Ausführung von Ransomware zu verkürzen. Es wird auch mit Berechtigungen ausgeführt, die bedeuten, dass ein Partner nicht mehr unbedingt die Genehmigung eines Administrators auf der Stufe des Vertreters für seinen Patienten benötigt, um den Aufwand zu charakterisieren.
Reverse-Engineering von LockBit 3.0, das zuvor gestartet wurde Jahr wurde außerdem veröffentlicht, dass die Ransomware neue Verhaltensweisen angenommen hat, die es für Forscher schwieriger machen, sie intelligent zu analysieren. Zum Beispiel müssen Freunde jetzt ein 32-stelliges Passwort in die Expose-Zeile der Ransomware-Binärdatei eingeben, nachdem sie sie geöffnet haben, oder sie springt nicht. Niemals auf die BlackMatter-Nachbarschaft verweisen, wobei mehr als eine Ähnlichkeit festgestellt wird, die darauf hindeutet, dass LockBit BlackMatter-Code wiederverwendet, insbesondere einen Anti-Debugging-Trick, der interne Funktionsaufrufe von Forschern verbirgt, die gleiche Absicht wie String-Verschleierung, Thread-Verbergung, Aufzählung von DNS-Hostnamen, Betriebssystemprüfung und Konfiguration. Außerdem versenden beide Lösegeldforderungen an alle Druckereien, die sie vielleicht zusammenbringen würden.
Sophos Hauptforscher Andre
Hier weiter zum Artikel
neuesten,LockBit-Ransomware-Versionen
