去年，LockBit 3.0 勒索軟件生成器泄露，導(dǎo)致攻擊者濫用該工具催生新變種。

俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基（Kaspersky）表示，它檢測(cè)到了一起勒索軟件入侵事件，該入侵部署了LockBit版本，但勒索贖金的程序明顯不同。

安全研究人員愛(ài)德華多-奧瓦列（Eduardo Ovalle）和弗朗切斯科-圖雷（Francesco Figurelli）說(shuō)：這次事件背后的攻擊者使用不同的贖金程序，其標(biāo)題與一個(gè)以前名為NATIONAL HAZARD AGENCY的組織有關(guān)。

改版后的贖金票據(jù)直接指明了獲得解密密鑰所需的支付金額，并將通信導(dǎo)向了 Tox 服務(wù)和電子郵件，這與 LockBit 組織不同，后者沒(méi)有提及金額并使用自己的通信和談判平臺(tái)。

NATIONAL HAZARD AGENCY 并非是唯一使用泄露的 LockBit 3.0 生成器的網(wǎng)絡(luò)犯罪團(tuán)伙。已知利用它的其他威脅行為者包括 Bl00dy 和 Buhti。

卡巴斯基指出，它在遙測(cè)中總共檢測(cè)到 396 個(gè)不同的 LockBit 樣本，其中 312 個(gè)是使用泄露的構(gòu)建程序創(chuàng)建的。多達(dá) 77 個(gè)樣本在贖金說(shuō)明中沒(méi)有提及 "LockBit"。

研究人員說(shuō)：檢測(cè)到的許多參數(shù)都與生成器的默認(rèn)配置一致，只有一些細(xì)微的改動(dòng)。

這一披露是在Netrich深入研究一種名為ADHUBLLKA的勒索軟件毒株之際發(fā)布的，該勒索軟件自2019年以來(lái)已多次更名（BIT，LOLKEK，OBZ，U2K和TZW），其主要目標(biāo)為個(gè)人和小型企業(yè)，獲取低價(jià)的贖金（在800美元至1600美元之間）。

雖然這些迭代版本在加密方案、贖金說(shuō)明和通信方法上都略有改動(dòng)，但由于源代碼和基礎(chǔ)架構(gòu)的相似性，仔細(xì)觀(guān)察就會(huì)發(fā)現(xiàn)它們都與 ADHUBLLKA 有關(guān)。

安全研究員拉克什-克里希南（Rakesh Krishnan）說(shuō)：當(dāng)一個(gè)勒索軟件在野外獲得成功后，網(wǎng)絡(luò)犯罪分子通常會(huì)使用相同的勒索軟件樣本（稍微調(diào)整其代碼庫(kù)）來(lái)試行其他項(xiàng)目。

例如，他們可能會(huì)改變加密方案、贖金說(shuō)明或命令與控制（C2）通信渠道，然后將自己包裝成為'新'勒索軟件。

勒索軟件仍然是一個(gè)積極演變的生態(tài)系統(tǒng)，其戰(zhàn)術(shù)和目標(biāo)經(jīng)常發(fā)生變化。

這一發(fā)展也正值勒索軟件攻擊創(chuàng)紀(jì)錄地激增之際，Cl0p 勒索軟件組織利用 MOVEit Transfer 應(yīng)用程序中的漏洞獲取初始訪(fǎng)問(wèn)權(quán)限并加密目標(biāo)網(wǎng)絡(luò)，已經(jīng)入侵了 1000 家已知組織。

在企業(yè)受害者中，美國(guó)實(shí)體占 83.9%，其次是德國(guó)（3.6%）、加拿大（2.6%）和英國(guó)（2.1%）。據(jù)說(shuō)有 6000 多萬(wàn)人受到影響。

然而，供應(yīng)鏈勒索軟件攻擊的破壞半徑可能要大得多。據(jù)估計(jì)，攻擊者預(yù)計(jì)將從他們的活動(dòng)中獲得 7500 萬(wàn)至 1 億美元的非法利潤(rùn)。

Coveware表示：雖然MOVEit活動(dòng)最終可能會(huì)直接影響1000多家公司，間接影響的數(shù)量級(jí)則更高，但只有極少數(shù)受害者試圖進(jìn)行談判，更不用說(shuō)考慮付款了。

那些支付了贖金的受害者所支付的贖金遠(yuǎn)遠(yuǎn)高于之前的 CloP 活動(dòng)，是全球平均贖金金額 740144 美元的數(shù)倍（比 2023 年第一季度增加了 126%）。

更重要的是，根據(jù)Sophos《2023年活躍對(duì)手報(bào)告》，勒索軟件事件的中位停留時(shí)間從2022年的9天下降到2023年上半年的5天，這表明 "勒索軟件團(tuán)伙的行動(dòng)速度比以往任何時(shí)候都快"。

相比之下，非勒索軟件事件的停留時(shí)間中位數(shù)從 11 天增加到 13 天。在此期間觀(guān)察到的最長(zhǎng)停留時(shí)間為 112 天。

該網(wǎng)絡(luò)安全公司表示：在81%的勒索軟件攻擊中，最終有效載荷是在傳統(tǒng)工作時(shí)間以外啟動(dòng)的，而在工作時(shí)間內(nèi)部署的勒索軟件攻擊中，只有5起發(fā)生在工作日。近一半（43%）的勒索軟件攻擊是在周五或周六被檢測(cè)到的。

參考鏈接：https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html