Peneliti cybersecurity telah mengulangi kesamaan antara iterasi terbaru dari ransomware LockBit dan BlackMatter, varian rebranded dari jenis ransomware DarkSide yang menutup toko pada November 2021.
Versi baru LockBit, yang disebut LockBit 3.0 alias LockBit Black, dirilis pada Juni 2022, meluncurkan situs kebocoran baru dan program hadiah bug ransomware pertama, di samping Zcash sebagai opsi pembayaran cryptocurrency.
Proses enkripsinya melibatkan penambahan ekstensi “HLJkNskOq” atau “19MqZqZ0s” ke setiap file dan mengubah ikon file yang dikunci menjadi file .ico yang dijatuhkan oleh sampel LockBit untuk memulai infeksi.
“Ransomware kemudian menghapus catatan tebusan, yang merujuk pada ‘Ilon Musk’ dan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa,” kata peneliti Trend Micro dalam laporan Senin. “Terakhir, itu mengubah wallpaper mesin korban untuk memberi tahu mereka tentang serangan ransomware.”
Kemiripan luas LockBit dengan BlackMatter berasal dari tumpang tindih dalam eskalasi hak istimewa dan rutinitas pemanenan yang digunakan untuk mengidentifikasi API yang diperlukan untuk menghentikan proses dan fungsi lainnya serta penggunaan teknik anti-debugging dan threading yang dirancang untuk menggagalkan analisis.
Yang juga perlu diperhatikan adalah penggunaan argumen “-pass” untuk mendekripsi rutinitas utamanya, perilaku yang terlihat pada keluarga ransomware lain yang tidak berfungsi bernama Egregor, yang secara efektif membuat biner lebih sulit untuk dibalik jika parameter tidak tersedia.
Selain itu, LockBit 3.0 dirancang untuk memeriksa bahasa tampilan mesin korban untuk menghindari kompromi sistem yang terkait dengan negara bagian Commonwealth of Independent States (CIS).
“Salah satu perilaku penting untuk versi LockBit ketiga ini adalah teknik penghapusan file: Alih-alih menggunakan cmd.exe untuk mengeksekusi file batch atau perintah yang akan melakukan penghapusan, itu menjatuhkan dan mengeksekusi file .tmp yang didekripsi dari biner,” para peneliti dikatakan.
File .tmp ini kemudian menimpa konten biner ransomware dan kemudian mengganti nama biner beberapa kali, dengan nama file baru berdasarkan panjang nama file asli, termasuk ekstensi, dalam upaya untuk mencegah pemulihan oleh alat forensik dan penutup jejaknya.
Temuan ini muncul ketika infeksi LockBit telah muncul sebagai kelompok ransomware-as-a-service (RaaS) paling aktif pada tahun 2022, yang terbaru diduga adalah Layanan Pendapatan Internal Italia (L’Agenzia delle Entrate).
Menurut Palo Alto Networks 2022 Unit 42 Incident Response Report yang diterbitkan hari ini berdasarkan 600 kasus yang ditangani antara Mei 2021 dan April 2022, keluarga ransomware menyumbang 14% dari intrusi, kedua setelah Conti sebesar 22%.
Pengembangan ini juga menyoroti kesuksesan model bisnis RaaS yang berkelanjutan, menurunkan hambatan masuk bagi pemeras dan memperluas jangkauan ransomware.
Analisis Check Point tentang tren serangan siber untuk Q2 2022 menunjukkan bahwa rata-rata mingguan organisasi yang terkena dampak ransomware mencapai satu dari 40, meningkat 59% YoY dari satu dari 64 organisasi di Q2 2021.
“Amerika Latin telah mengalami peningkatan serangan terbesar, melihat satu dari 23 organisasi yang terkena dampak mingguan, peningkatan 43% YoY, dibandingkan dengan satu dari 33 pada Q2 2021, diikuti oleh kawasan Asia yang mengalami peningkatan 33% YoY, mencapai satu dari 17 organisasi terkena dampak mingguan,” kata perusahaan keamanan siber Israel.