Infrastruktura kryesore e LockBit u çmontua gjatë Operacionit Cronos, i cili gjithashtu çoi në arrestimin e dy anëtarëve të grupit. Falë bashkëpunimit me Agjencinë Kombëtare të Krimit (NCA) të Mbretërisë së Bashkuar, ekspertët e Trend Micro kanë analizuar kodin e versionit 4.0 të ransomware.
LockBit-NG-Dev: Mbështetje ndër-platformë
LockBit është një RaaS (Ransom-as-a-Service), kështu që zhvilluesit e ransomware u caktojnë kriminelëve të tjerë kibernetikë (affiliate) detyrën për të kryer sulmet, duke ndjekur rregulla specifike. Nëse sulmi është i suksesshëm dhe viktima paguan shpërblimin, zhvilluesit mbajnë 20%, ndërsa 80% e mbetur mbetet me filialet.
Versioni 1.0 u lëshua në janar 2020. Versionet 2.0 (qershor 2021) dhe 3.0 (mars 2022) u lëshuan më pas. Që nga tetori 2021, një version Linux i përdorur për të synuar sistemet VMware ESXi ka qenë gjithashtu i disponueshëm. Kodi LockBit-NG-Dev u gjet në serverët e sekuestruar nga policia, d.m.th. Gjenerata e ardhshme (NG) e ransomware në zhvillim (Dev) që do të bëhej LockBit 4.0.
Krahasuar me versionin 3.0 ka disa ndryshime. Para së gjithash, është “platformë-agnostike”, kështu që mund të ndikojë në pajisjet me çdo sistem operativ. Është shkruar në .NET dhe është përpiluar me CoreRT (versionet e mëparshme janë shkruar në C/C++). Skedari i konfigurimit në formatin JSON përmban informacione të ndryshme, duke përfshirë datën e fillimit dhe mbarimit të ekzekutimit, çelësin publik RSA dhe listën e proceseve/shërbimeve për t’u përfunduar.
Disa veçori të mëparshme janë eliminuar (për shembull aftësia për të vetëpërhapur), por procedura e enkriptimit të skedarëve është përmirësuar. Versioni i ri mbështet tre mënyra: të plotë (i gjithë skedari), me ndërprerje (pjesë jo të lidhura të skedarëve) dhe të shpejtë (vetëm 4,096 bajtët e parë). Çelësi publik RSA përdoret për të enkriptuar çelësin AES të përdorur për të enkriptuar skedarët.
Departamenti Amerikan i Shtetit ka ofruar një shpërblim prej 15 milionë dollarësh për këdo që jep informacion që çon në identifikimin, vendndodhjen dhe arrestimin e drejtuesve të LockBit.
Discussion about this post