LockBit-NG-Dev új verzió
A Trend Micro együttműködött egy kutatásban az Egyesült Királyság Nemzeti Bűnüldözési Ügynökségével (National Crime Agency), amely Cronos művelet keretében a LockBit működését zavarta meg.
A LockBit egy Ransomware-as-a-Service (RaaS) művelet, amely az évek során számos biztonsági incidensben vett részt szervezetek számára világszerte. Azzal, hogy a LockBit-et RaaS-ként kínálja, fejlesztői más bűnözők számára is biztosíthatják azt saját műveleteikhez. Egy tipikus RaaS-beállításban a bevételek a váltságdíj kialkudása és kifizetése után megoszlanak a fejlesztők és a partnerek között. A LockBit általában a váltságdíj 20%-át kéri a fizető áldozatonként, a fennmaradó 80%-ot pedig a partner kapja. Ha azonban a LockBit maga végzi a tárgyalásokat, akkor ez a díj 30-50%-ra emelkedik. A csoport 2023 novemberében új ajánlásokat vezetett be a váltságdíj értékére vonatkozóan az áldozat bevétele alapján, megtiltva az 50% feletti árengedményeket.
Tisztán technikai szempontból a LockBit-et az tette különlegessé a többi konkurens zsarolóvírus csomaghoz képest, hogy önterjesztő képességekkel rendelkezett. Amint a hálózatban egy állomás megfertőződik, a LockBit képes más, közeli célpontokat keresni, és azokat is megpróbálja megfertőzni – ez a technika nem volt gyakori az ilyen típusú kártevőknél.
A Trend Micro birtokába jutott egy olyan minta, amely a LockBit új evolúcióját képviseli: egy platform-agnosztikus, tesztelés alatt álló kártevő fejlesztés alatt álló verziója, amely különbözik a korábbi verzióktól. A minta a titkosított fájlokhoz egy “locked_for_LockBit” utótagot csatol, amely a konfiguráció részét képezi, és ezért még változhat, ezért arra enged következtetni, hogy ez a csoport egy még be nem mutatott, készülő verziója.
A fejlesztés jelenlegi állapota alapján ezt a változatot LockBit-NG-Dev néven követi nyomon a Trend Micro, és úgy vélik, hogy ez képezheti az alapját a LockBit 4.0-nak, amelyen a csoport szinte biztosan dolgozik.