去年，LockBit 3.0 勒索軟件生成器泄露，導致攻擊者濫用該工具催生新變種。

俄羅斯網絡安全公司卡巴斯基（Kaspersky）表示，它檢測到了一起勒索軟件入侵事件，該入侵部署了LockBit版本，但勒索贖金的程序明顯不同。

安全研究人員愛德華多-奧瓦列（Eduardo Ovalle）和弗朗切斯科-圖雷（Francesco Figurelli）說：這次事件背后的攻擊者使用不同的贖金程序，其標題與一個以前名為NATIONAL HAZARD AGENCY的組織有關。

改版后的贖金票據直接指明了獲得解密密鑰所需的支付金額，并將通信導向了 Tox 服務和電子郵件，這與 LockBit 組織不同，后者沒有提及金額并使用自己的通信和談判平臺。

NATIONAL HAZARD AGENCY 并非是唯一使用泄露的 LockBit 3.0 生成器的網絡犯罪團伙。已知利用它的其他威脅行為者包括 Bl00dy 和 Buhti。

卡巴斯基指出，它在遙測中總共檢測到 396 個不同的 LockBit 樣本，其中 312 個是使用泄露的構建程序創建的。多達 77 個樣本在贖金說明中沒有提及 "LockBit"。

研究人員說：檢測到的許多參數都與生成器的默認配置一致，只有一些細微的改動。

這一披露是在Netrich深入研究一種名為ADHUBLLKA的勒索軟件毒株之際發布的，該勒索軟件自2019年以來已多次更名（BIT，LOLKEK，OBZ，U2K和TZW），其主要目標為個人和小型企業，獲取低價的贖金（在800美元至1600美元之間）。

雖然這些迭代版本在加密方案、贖金說明和通信方法上都略有改動，但由于源代碼和基礎架構的相似性，仔細觀察就會發現它們都與 ADHUBLLKA 有關。

安全研究員拉克什-克里希南（Rakesh Krishnan）說：當一個勒索軟件在野外獲得成功后，網絡犯罪分子通常會使用相同的勒索軟件樣本（稍微調整其代碼庫）來試行其他項目。

例如，他們可能會改變加密方案、贖金說明或命令與控制（C2）通信渠道，然后將自己包裝成為'新'勒索軟件。

勒索軟件仍然是一個積極演變的生態系統，其戰術和目標經常發生變化。

這一發展也正值勒索軟件攻擊創紀錄地激增之際，Cl0p 勒索軟件組織利用 MOVEit Transfer 應用程序中的漏洞獲取初始訪問權限并加密目標網絡，已經入侵了 1000 家已知組織。

在企業受害者中，美國實體占 83.9%，其次是德國（3.6%）、加拿大（2.6%）和英國（2.1%）。據說有 6000 多萬人受到影響。

然而，供應鏈勒索軟件攻擊的破壞半徑可能要大得多。據估計，攻擊者預計將從他們的活動中獲得 7500 萬至 1 億美元的非法利潤。

Coveware表示：雖然MOVEit活動最終可能會直接影響1000多家公司，間接影響的數量級則更高，但只有極少數受害者試圖進行談判，更不用說考慮付款了。

那些支付了贖金的受害者所支付的贖金遠遠高于之前的 CloP 活動，是全球平均贖金金額 740144 美元的數倍（比 2023 年第一季度增加了 126%）。

更重要的是，根據Sophos《2023年活躍對手報告》，勒索軟件事件的中位停留時間從2022年的9天下降到2023年上半年的5天，這表明 "勒索軟件團伙的行動速度比以往任何時候都快"。

相比之下，非勒索軟件事件的停留時間中位數從 11 天增加到 13 天。在此期間觀察到的最長停留時間為 112 天。

該網絡安全公司表示：在81%的勒索軟件攻擊中，最終有效載荷是在傳統工作時間以外啟動的，而在工作時間內部署的勒索軟件攻擊中，只有5起發生在工作日。近一半（43%）的勒索軟件攻擊是在周五或周六被檢測到的。

參考鏈接：https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html