A H2miner újra felbukkant az Lcrypt0rx ransomware-rel
A FortiGuard Labs részét képező FortiCNAPP csapat nemrég egy Monero bányászatra használt virtuális privát szerver (VPS) cluster-t vizsgált. Az azonosított minták korábbi H2miner kampányokhoz kapcsolódnak, amelyeket 2020-ban dokumentáltak. A H2Miner egy kriptobányász botnet, amely 2019 vége óta aktív.
Az Lcryx zsarolóvírus egy új változatát is azonosították, az Lcrypt0rx nevű változatot. Az Lcryx egy viszonylag új, VBScript-alapú ransomware törzs, amelyet először 2024 novemberében észleltek. Ez a család több olyan szokatlan jellemzőt mutat, amelyek arra utalnak, hogy mesterséges intelligencia segítségével generálhatták. Erre utal több indikátor is, többek között, funkcióduplikációk, helytelen perzisztencia mechanizmusok, hibás titkosítási logika, redundáns objektum létrehozása, rosszul formázott szintaxis, logikátlan viselkedés, nem létező célútvonalak, érvénytelen a váltságdíjjegyzet URL címe, nem hatékony AV letiltás, valamint AI észlelési eredmények.
Ez az első dokumentált példa a H2miner és az Lcryx közötti működési átfedésre, amely miatt több lehetőség is fennáll: az üzemeltetők között együttműködés van a pénzügyi haszon maximalizálása érdekében. Mivel mindkettő malware különböző operációs rendszereket céloz meg, ezért ez reális lehet. Az Lcrypt0rx-t a H2miner üzemeltetői fejlesztették, hogy növeljék a kampányuk pénzügyi nyereségét.
