LockBit 3.0 ใช้วิธีการเข้ารหัสแบบใหม่ในชื่อ LockBit Green
ผู้เชี่ยวชาญจาก VX-Underground ได้รายงานว่าผู้พัฒนา LockBit Ransomware มีการเปลี่ยนแปลงตัวเข้ารหัสอีกครั้ง ซึ่งในครั้งนี้หันมาใช้ชนิดเดียวกับ Conti Ransomware ที่เพิ่งปิดตัวลงไป และมีการใช้ชื่อใหม่ว่า LockBit Green
ตั้งแต่ LockBit Ransomware เปิดตัวก็มีการปรับเปลี่ยนวิธีการโจมตีรวมถึงวิธีการเข้ารหัสมาตลอด เวอร์ชันล่าสุดที่มีการประกาศอย่างเป็นทางการคือ LockBit 3.0 (หรือที่เรียกว่า LockBit Black) ซึ่งใช้วิธีการเข้ารหัสแบบเดียวกับ BlackMatter Ransomware
ในปัจจุบันมีการค้นพบว่า LockBit มีการใช้ตัวเข้ารหัสชนิดเดียวกับ Conti ซึ่งคาดว่าได้มาจาก Source Code ที่หลุดออกมาหลังจาก Conti ปิดตัวลง โดยหลังจากที่ Source Code ของ Conti หลุดได้ไม่นาน ก็มีกลุ่มแฮ็กเกอร์กลุ่มอื่น ๆ เริ่มใช้มันเพื่อสร้างตัวเข้ารหัสให้เป็นของตนเช่นเดียวกัน
ลักษณะการทำงาน
- ตั้งแต่ข่าวของ LockBit Green เผยแพร่สู่สาธารณะ นักวิจัยก็ได้ตัวอย่างของ LockBit Green จากไฟล์บน VirusTotal และเว็บไซต์แชร์มัลแวร์อื่น ๆ
- ต่อมาผู้เชี่ยวชาญจาก CyberGeeksTech ได้ใช้วิธีการ reverse-engineered กับตัวอย่างของ LockBit Green และระบุในรายงานกับ BleepingComputer ว่า ตัวเข้ารหัสที่ใช้เป็นตัวเข้ารหัสเดียวกับ Conti ที่พวกเขาเคยวิเคราะห์ไว้ก่อนหน้านี้อย่างแน่นอน โดยอัลกอริธึมการถอดรหัสก็เป็นชนิดเดียวกัน
- จากนั้นบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง PRODAFT มีการแชร์ข้อมูล IOC ของ LockBit Green พร้อมกับส่งไฟล์ตัวอย่าง และระบุในรายงานกับ BleepingComputer ว่ามีเป้าหมายมากกว่า 5 รายที่ถูกโจมตีโดย LockBit Green แล้ว
- หลังจากได้รับไฟล์ตัวอย่างจาก PRODAFT ทีมงาน BleepingComputer ได้ทดสอบไฟล์ดังกล่าว พบว่าไฟล์เรียกค่าไถ่ได้ถูกแก้ไขรายละเอียดจาก Conti ให้มาเป็นของ LockBit 3.0 แล้ว
- อย่างไรก็ตาม การเปลี่ยนแปลงที่เห็นได้ชัดสุดคือ LockBit Green จะใช้ extension แบบสุ่ม แทนที่จะใช้ .lockbit แบบเวอร์ชั่นเก่า
IOC
ที่มา : bleepingcomputer
You must be logged in to post a comment.