相对较新的 Bl00Dy 勒索软件帮派已开始使用最近泄露的 LockBit 勒索软件构建器来攻击公司。
上周, LockBit 运营商与他的开发人员发生争执后, LockBit 3.0 勒索软件制造商在 Twitter 上被泄露。这个构建器允许任何人构建一个功能齐全的加密器和解密器,威胁参与者可以使用它来进行攻击。
由于构建器包含一个配置文件,可以轻松定制以使用不同的勒索记录、统计服务器和功能,BleepingComputer 预测其他威胁参与者很快将使用构建器创建自己的勒索软件。
来源:news.zzqidc.com
不幸的是,我们的预测已经成真,一个名为“Bl00Dy Ransomware Gang”的相对较新的勒索软件组织已经利用该构建器攻击乌克兰实体。
Bl00dy 勒索软件帮派
正如 DataBreaches.net首次报道 的那样,Bl00Dy 勒索软件帮派于 2022 年 5 月左右开始运作,当时他们针对纽约的一组医疗和牙科诊所。
与其他人为勒索软件的操作一样,威胁参与者会破坏网络、窃取公司数据并加密设备。然而,威胁参与者并没有使用 Tor 数据泄露站点来敲诈受害者并发布被盗数据,而是使用 Telegram 频道来达到同样的目的。
虽然这显然是一个“勒索软件”团伙,但威胁行为者似乎并未独立开发勒索软件。相反,他们使用泄露的构建器和其他勒索软件操作的源代码创建加密器,例如 Babuk [ VirusTotal ] 和 Conti [ VirusTotal ]。
周一,网络安全研究员 Vladislav Radetskiy 发布 了一份 关于新 Bl00Dy Ransomware Gang 加密器的报告,该加密器在对乌克兰受害者的攻击中被发现。
然而,目前尚不清楚勒索软件是基于 Conti 还是 LockBit,因为“filedecryptionsupport@msgsafe.io”电子邮件之前位于从 泄露的 Conti 源代码构建的加密器中。
研究员 MalwareHunterTeam 后来证实 加密器是使用最近发布的 LockBit 3.0 构建器构建的。Intezer扫描 还显示 Bl00dy 和 LockBit 3.0 加密器之间存在大量代码重叠。
news.zzqidc.com对 Bl00dy Ransomware Gang 的加密器进行了测试,发现这种新的加密器与以前的加密器之间存在一些差异。
在过去的活动中,威胁参与者 为加密文件添加了.bl00dy 扩展名。但是,由于这不是 LockBit 3.0 构建器中的可自定义选项,因此威胁参与者将使用在构建加密器时确定的扩展。
来源:news.zzqidc.com
至于赎金记录,文件名仍以 LockBit 样式创建,但威胁参与者已对其进行了自定义,以包含自己的文本和联系信息,如下所示。
来源:news.zzqidc.com
看到 Bl00dy Ransomware Gang 根据需要在勒索软件系列之间切换以逃避检测或利用各种功能也就不足为奇了。
由于 LockBit 3.0 是目前更先进、功能更丰富的勒索软件操作之一,我们应该期待其他威胁参与者使用泄露的构建器启动新操作。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » “Bl00dy”勒索软件团伙在攻击中使用的 LockBit 3.0 构建器泄露
