ロックビットランサムウェアの開発者たちは、法執行機関がこの週にサイバー犯罪者のインフラを摘発する前に、彼らのファイル暗号化マルウェアの新バージョン、通称LockBit-NG-Dev(LockBit 4.0となる可能性が高い)の開発を密かに進めていました。
英国の国家犯罪庁との協力の結果、サイバーセキュリティ企業トレンドマイクロは、複数のオペレーティングシステムで機能する最新のLockBit開発サンプルを分析しました。
次世代LockBit
以前のLockBitマルウェアがC/C++で構築されていたのに対し、最新のサンプルは.NETで書かれた進行中の作業であり、CoreRTでコンパイルされ、MPRESSでパックされているようです。
トレンドマイクロは、マルウェアが実行日範囲、身代金ノートの詳細、ユニークID、RSA公開鍵、その他の運用フラグなどの実行パラメータを概説するJSON形式の設定ファイルを含むと述べています。
新しい暗号化ツールは、以前のバージョンに存在するいくつかの機能(例えば、侵害されたネットワーク上での自己伝播能力、被害者のプリンターでの身代金ノートの印刷)を欠いていますが、最終開発段階にあり、期待される機能のほとんどを既に提供しているようです。
3つの暗号化モード(AES+RSAを使用)をサポートしており、「高速」、「間欠」、「完全」のモードがあり、カスタムファイルまたはディレクトリの除外が可能で、ファイル名をランダム化して復元作業を複雑にします。
追加オプションには、LockBit自身のファイル内容をnullバイトで上書きする自己削除メカニズムが含まれます。
トレンドマイクロは、LockBit-NG-Devの完全な設定パラメータを明らかにするマルウェアの深い技術分析を公開しました。
新しいLockBit暗号化ツールの発見は、オペレーションクロノスを通じて、法執行機関がLockBitオペレーターに与えた別の打撃です。バックアップサーバーがまだギャングの制御下にあるとしても、暗号化マルウェアのソースコードがセキュリティ研究者に知られている場合、サイバー犯罪ビジネスを復活させることは困難な課題でしょう。