Versão 3.0  do LockBit o torna mais perigoso e devastador

Pouco antes de atacar a agência fiscal italiana, o grupo de ransomware estreou uma versão aprimorada do malware com partes do Egregor e do BlackMatter
Da Redação
26/07/2022

A engenharia reversa dos executáveis ​​de ransomware mais recentes do grupo por trás do LockBit mostra que os desenvolvedores adicionaram recursos de outras ferramentas de ataque populares e estão trabalhando ativamente para melhorar os recursos anti-análise do LockBit, de acordo com pesquisadores.

Essa evolução significativa, vista no recém-lançado LockBit 3.0 (também conhecido como LockBit Black), tem como objetivo superar as melhores defesas, exigir um maior escrutínio por parte dos pesquisadores e investigadores de segurança e acirrar a competição com outras gangues, de acordo com análises de vários pesquisadores de segurança da Trend Micro.

“Não há dúvida de que, seja devido a pressão dos órgãos da lei ou por causa da melhoria das ferramentas de defesa, estamos vendo que os grupos de ransomware estão sendo forçados a evoluir e a melhorar no que estão fazendo”, disse Jon Clay, vice-presidente de inteligência em ameaças da Trend Micro, em um comunicado publicado nesta terça-feira, 26.

Eles também precisam acompanhar os colegas da dark web. Para isso, segundo Clay, a versão mais recente agora exige uma chave para ofuscar suas principais rotinas e dificulta a engenharia reversa e a análise, por exemplo, técnicas usadas por outras famílias de ransomware, como Egregor. A nova versão do ransomware também enumera as interfaces de programação de aplicativos (APIs) disponíveis, um recurso idêntico ao programa de ransomware BlackMatter, afirmou a empresa de segurança cibernética.

No início deste mês, a Receita Federal da Itália se tornou a mais recente suposta vítima do LockBit, com o grupo se gabando de ter criptografado e exfiltrado 78 gigabytes de arquivos da agência fiscal. Se for verdade, a instituição terá que encontrar uma maneira de se recuperar, mas o ataque também ameaça os cidadãos italianos.

O grupo por trás do LockBit teve um bom retorno até agora. Apesar de uma queda de 18% nos ataques gerais, provavelmente devido à interrupção da infraestrutura por trás do grupo de crimes cibernéticos Conti ou possivelmente devido à invasão da Ucrânia pela Rússia, o LockBit se tornou o ransomware mais comumente encontrado, respondendo por 40% de todos os ataques detectados pela empresa de segurança NCC Group em maio.

Veja isso
Entrevista do Lockbit: “Há mais de 100 pessoas na operação”
Grupo Lockbit abre o primeiro bug bounty do cibercrime

As alterações na versão mais recente do LockBit incluem funções que coletam APIs do sistema como forma de usar funções legítimas como parte de seu ataque e criptografia extensa, embora bastante simples, de dados e código de configuração, de acordo com o comunicado da Trend Micro.

Talvez mais notavelmente, uma grande adição ao LockBit 3.0 seja um conjunto de recursos para desacelerar ou impedir a engenharia reversa. O programa inclui, por exemplo, uma senha necessária para descriptografar o corpo principal do código executável e um recurso que tenta travar os depuradores.

“Eles se orgulham de sua capacidade de atualizar regularmente suas ofertas de ransomware e ransomware como serviço”, diz Clay, da Trend Micro. “Há muito mais recursos de ofuscação no 3.0, e eles colocam muitos para impedir que analistas e pesquisadores possam descobrir seu código.”

Compartilhar: