Para Ahli Menemukan Persamaan Antara LockBit 3.0 Baru dan BlackMatter Ransomware

  • Bagikan
LockBit 3.0 Variant and BlackMatter Ransomware

Beritaini.top Para Ahli Menemukan Persamaan Antara LockBit 3.0 Baru dan BlackMatter Ransomware

LockBit 3.0 Varian dan BlackMatter Ransomware

Peneliti cybersecurity telah mengulangi kesamaan antara iterasi terbaru dari ransomware LockBit dan BlackMatter, varian rebranded dari jenis ransomware DarkSide yang menutup toko pada November 2021.

Versi baru LockBit, yang disebut LockBit 3.0 alias LockBit Black, dirilis pada Juni 2022, meluncurkan situs kebocoran baru dan program hadiah bug ransomware pertama, di samping Zcash sebagai opsi pembayaran cryptocurrency.

Proses enkripsinya melibatkan penambahan ekstensi “HLJkNskOq” atau “19MqZqZ0s” ke setiap file dan mengubah ikon file yang dikunci menjadi file .ico yang dijatuhkan oleh sampel LockBit untuk memulai infeksi.

“Ransomware kemudian menjatuhkan catatan tebusan, yang merujuk pada ‘Ilon Musk’ dan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa,” peneliti Trend Micro dikatakan dalam laporan Senin. “Terakhir, itu mengubah wallpaper mesin korban untuk memberi tahu mereka tentang serangan ransomware.”

Keamanan cyber

Kemiripan luas LockBit dengan BlackMatter berasal dari tumpang tindih dalam eskalasi hak istimewa dan rutinitas pemanenan yang digunakan untuk mengidentifikasi API yang diperlukan untuk menghentikan proses dan fungsi lainnya serta penggunaan teknik anti-debugging dan threading yang dirancang untuk menggagalkan analisis.

Yang juga perlu diperhatikan adalah penggunaan argumen “-pass” untuk mendekripsi rutinitas utamanya, perilaku yang terlihat pada keluarga ransomware lain yang tidak berfungsi bernama Egregor, yang secara efektif membuat biner lebih sulit untuk dibalik jika parameter tidak tersedia.

LockBit 3.0 Varian dan BlackMatter Ransomware

Selain itu, LockBit 3.0 dirancang untuk memeriksa bahasa tampilan mesin korban untuk menghindari kompromi sistem yang terkait dengan negara bagian Commonwealth of Independent States (CIS).

“Salah satu perilaku penting untuk versi LockBit ketiga ini adalah teknik penghapusan file: Alih-alih menggunakan cmd.exe untuk mengeksekusi file batch atau perintah yang akan melakukan penghapusan, itu menjatuhkan dan mengeksekusi file .tmp yang didekripsi dari biner,” para peneliti dikatakan.

File .tmp ini kemudian menimpa konten biner ransomware dan kemudian mengganti nama biner beberapa kali, dengan nama file baru berdasarkan panjang nama file asli, termasuk ekstensi, dalam upaya untuk mencegah pemulihan oleh alat forensik dan penutup jejaknya.

Temuan ini muncul saat infeksi LockBit muncul sebagai paling aktif ransomware-as-a-service (RaaS) pada tahun 2022, yang diduga paling baru makhluk Layanan Pendapatan Internal Italia.

Keamanan cyber

Menurut Jaringan Palo Alto Laporan Respons Insiden Unit 42 2022 diterbitkan hari ini berdasarkan 600 kasus yang ditangani antara Mei 2021 dan April 2022, keluarga ransomware menyumbang 14% dari intrusi, kedua setelah Conti sebesar 22%.

Statistik Ransomware

Pengembangan ini juga menyoroti kesuksesan model bisnis RaaS yang berkelanjutan, menurunkan hambatan masuk bagi pemeras dan memperluas jangkauan ransomware.

Analisis Check Point tentang tren serangan siber untuk Q2 2022 menunjukkan bahwa rata-rata mingguan organisasi yang terkena dampak ransomware mencapai satu dari 40, meningkat 59% YoY dari satu dari 64 organisasi di Q2 2021.

“Amerika Latin telah mengalami peningkatan serangan terbesar, melihat satu dari 23 organisasi yang terkena dampak mingguan, peningkatan 43% YoY, dibandingkan dengan satu dari 33 pada Q2 2021, diikuti oleh kawasan Asia yang mengalami peningkatan 33% YoY, mencapai satu dari 17 organisasi terkena dampak mingguan,” perusahaan keamanan siber Israel dikatakan.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.