去年，LockBit 3.0 勒索軟件生成器泄露，導(dǎo)致攻擊者濫用該工具催生新變種。

俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基（Kaspersky）表示，它檢測到了一起勒索軟件入侵事件，該入侵部署了LockBit版本，但勒索贖金的程序明顯不同。

安全研究人員愛德華多-奧瓦列（Eduardo Ovalle）和弗朗切斯科-圖雷（Francesco Figurelli）說：這次事件背后的攻擊者使用不同的贖金程序，其標(biāo)題與一個以前名為NATIONAL HAZARD AGENCY的組織有關(guān)。

改版后的贖金票據(jù)直接指明了獲得解密密鑰所需的支付金額，并將通信導(dǎo)向了 Tox 服務(wù)和電子郵件，這與 LockBit 組織不同，后者沒有提及金額并使用自己的通信和談判平臺。

NATIONAL HAZARD AGENCY 并非是唯一使用泄露的 LockBit 3.0 生成器的網(wǎng)絡(luò)犯罪團(tuán)伙。已知利用它的其他威脅行為者包括 Bl00dy 和 Buhti。

卡巴斯基指出，它在遙測中總共檢測到 396 個不同的 LockBit 樣本，其中 312 個是使用泄露的構(gòu)建程序創(chuàng)建的。多達(dá) 77 個樣本在贖金說明中沒有提及 "LockBit"。

研究人員說：檢測到的許多參數(shù)都與生成器的默認(rèn)配置一致，只有一些細(xì)微的改動。

這一披露是在Netrich深入研究一種名為ADHUBLLKA的勒索軟件毒株之際發(fā)布的，該勒索軟件自2019年以來已多次更名（BIT，LOLKEK，OBZ，U2K和TZW），其主要目標(biāo)為個人和小型企業(yè)，獲取低價的贖金（在800美元至1600美元之間）。

雖然這些迭代版本在加密方案、贖金說明和通信方法上都略有改動，但由于源代碼和基礎(chǔ)架構(gòu)的相似性，仔細(xì)觀察就會發(fā)現(xiàn)它們都與 ADHUBLLKA 有關(guān)。

安全研究員拉克什-克里希南（Rakesh Krishnan）說：當(dāng)一個勒索軟件在野外獲得成功后，網(wǎng)絡(luò)犯罪分子通常會使用相同的勒索軟件樣本（稍微調(diào)整其代碼庫）來試行其他項(xiàng)目。

例如，他們可能會改變加密方案、贖金說明或命令與控制（C2）通信渠道，然后將自己包裝成為'新'勒索軟件。

勒索軟件仍然是一個積極演變的生態(tài)系統(tǒng)，其戰(zhàn)術(shù)和目標(biāo)經(jīng)常發(fā)生變化。

這一發(fā)展也正值勒索軟件攻擊創(chuàng)紀(jì)錄地激增之際，Cl0p 勒索軟件組織利用 MOVEit Transfer 應(yīng)用程序中的漏洞獲取初始訪問權(quán)限并加密目標(biāo)網(wǎng)絡(luò)，已經(jīng)入侵了 1000 家已知組織。

在企業(yè)受害者中，美國實(shí)體占 83.9%，其次是德國（3.6%）、加拿大（2.6%）和英國（2.1%）。據(jù)說有 6000 多萬人受到影響。

然而，供應(yīng)鏈勒索軟件攻擊的破壞半徑可能要大得多。據(jù)估計，攻擊者預(yù)計將從他們的活動中獲得 7500 萬至 1 億美元的非法利潤。

Coveware表示：雖然MOVEit活動最終可能會直接影響1000多家公司，間接影響的數(shù)量級則更高，但只有極少數(shù)受害者試圖進(jìn)行談判，更不用說考慮付款了。

那些支付了贖金的受害者所支付的贖金遠(yuǎn)遠(yuǎn)高于之前的 CloP 活動，是全球平均贖金金額 740144 美元的數(shù)倍（比 2023 年第一季度增加了 126%）。

更重要的是，根據(jù)Sophos《2023年活躍對手報告》，勒索軟件事件的中位停留時間從2022年的9天下降到2023年上半年的5天，這表明 "勒索軟件團(tuán)伙的行動速度比以往任何時候都快"。

相比之下，非勒索軟件事件的停留時間中位數(shù)從 11 天增加到 13 天。在此期間觀察到的最長停留時間為 112 天。

該網(wǎng)絡(luò)安全公司表示：在81%的勒索軟件攻擊中，最終有效載荷是在傳統(tǒng)工作時間以外啟動的，而在工作時間內(nèi)部署的勒索軟件攻擊中，只有5起發(fā)生在工作日。近一半（43%）的勒索軟件攻擊是在周五或周六被檢測到的。

參考鏈接：https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html