I kølvandet på sidste års afsløring af LockBit 3.0 ransomware-builderen er en række nye ransomware-varianter spredt sig, efterhånden som trusselsaktører udnytter det lækkede værktøj.

Ifølge Kaspersky, et fremtrædende russisk cybersikkerhedsfirma, blev der identificeret en ransomware-indtrængen, der involverede en modificeret version af LockBit 3.0. Denne variant introducerede en karakteristisk løsesumskravsprotokol, der afveg fra den konventionelle tilgang.

Forskerne Eduardo Ovalle og Francesco Figurelli forklarede, at den pågældende gerningsmand valgte et alternativt løsesumseddelformat, der tilpassede det til en gådefuld enhed kaldet "NATIONAL HAZARD AGENCY".

Den reviderede note specificerede eksplicit det beløb, der kræves til anskaffelse af dekrypteringsnøgler og rettet kommunikation gennem en Tox-tjeneste og e-mail. Dette står i kontrast til LockBit-gruppens strategi, som undgår at nævne løsesummen og anvender sin unikke kommunikations- og forhandlingsplatform.

NATIONAL HAZARD AGENCY er en af ​​talrige cyberkriminalitetsfraktioner, der udnytter den lækkede LockBit 3.0-bygger. Blandt de andre trusselsaktører, der udnytter dette værktøj, er Bl00dy og Buhti.

Kasperskys data afslører påvisningen af ​​396 forskellige LockBit-prøver gennem dets telemetri, med 312 artefakter, der stammer fra de lækkede builders. Et bemærkelsesværdigt undersæt på 77 prøver udelukker enhver reference til "LockBit" i løsesumsedlen.

Forskerne bemærkede, "Mange af de detekterede parametre svarer til standardkonfigurationen af ​​builderen, kun nogle indeholder mindre ændringer. Dette indikerer, at prøverne sandsynligvis blev udviklet til presserende behov eller muligvis af dovne aktører."

Sammenfaldende med denne afsløring undersøgte Netenrich en ransomware-stamme ved navn ADHUBLLKA. Denne stamme har gennemgået adskillige rebrands siden 2019 (BIT, LOLKEK, OBZ, U2K og TZW), mens den er målrettet mod enkeltpersoner og små virksomheder. Løsesummen, der kræves, varierer fra $800 til $1.600 per offer. På trods af små variationer i krypteringsmetoder, løsepenge og kommunikationsteknikker, etablerer delt kildekode og infrastruktur den røde tråd, der forbinder disse iterationer tilbage til ADHUBLLKA.

Sikkerhedsforsker Rakesh Krishnan bemærkede: "Succesfuld ransomware ser ofte, at cyberkriminelle genbruger deres eksisterende prøver og foretager små kodebasejusteringer for nye projekter. De kan ændre krypteringsskemaer, løsepengenotater eller kommando-og-kontrolkanaler og præsentere sig selv som en 'ny' ransomware."

Landskabet af ransomware udvikler sig konstant, præget af skift i taktik og præferencer. Især er der en voksende vægt på Linux-miljøer og familier som Trigona, Monti og Akira. Sidstnævnte er knyttet til Conti-tilknyttede trusselsaktører og har været forbundet med angreb, der udnytter Cisco VPN-produkter til uautoriseret netværksadgang. Cisco anerkendte målretningen af ​​VPN'er, der mangler multi-faktor-autentificering.

Stigningen i ransomware-angreb fortsætter, hvor Cl0p ransomware-gruppen bryder over 1.000 organisationer ved at udnytte sårbarheder i MOVEit Transfer-appen. Størstedelen af ​​ofrene er fra USA, efterfulgt af Tyskland, Canada og Storbritannien. Indvirkningen strækker sig til over 60 millioner individer, og anslået overskud for trusselsaktørerne varierer fra $75 millioner til $100 millioner.

Sophos' 2023 Active Adversary Report fremhæver et fald i den gennemsnitlige opholdstid for ransomware-hændelser, ned til fem dage fra ni i 2022. Dette understreger det hurtigere tempo i ransomware-operationer. Omvendt oplevede ikke-ransomware-hændelser en stigning i den gennemsnitlige opholdstid, der nåede 13 dage. Den længste observerede opholdstid i denne periode var 112 dage.

Cybersikkerhedsfirmaet Sophos bemærkede, "81 % af ransomware-angrebene lancerede deres endelige nyttelast uden for den traditionelle arbejdstid, og af dem, der blev implementeret i arbejdstiden, fandt kun fem sted på en hverdag. Næsten halvdelen (43 %) af ransomware-angrebene blev opdaget hver fredag. eller lørdag."