官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据BleepingComputer 2月1日消息,知名勒索软件组织LockBit 开始使用一种新型加密器,其源代码来自已经被解散的Conti 勒索软件。
据推特上多位知名安全博主表示,LockBit使用的这种新型加密器被称为“LockBit Green”,通过对样本进行逆向工程,发现它100% 基于 Conti泄露的源代码,但令人困惑的是,LockBit已经拥有属于自己的加密器,却还要选择基于 Conti 构建有效负载。
网络安全公司 PRODAFT 向BleepingComputer 分享了所发现的四个 LockBit Green 样本的 MD5 哈希值,
并透露至少有 5 名受害者受到了使用LockBit Green变体的攻击。BleepingComputer 测试了 PRODAFT 共享的其中一个样本,也发现使用了与Conti 加密器相同的命令行参数,但赎金票据已修改为 LockBit 3.0的样式,而不是 Conti 的格式。
LockBit Green 赎金票据
BleepingComputer 也注意到LockBit Green 使用的似乎是随机扩展名,而不是标准的 .lockbit扩展名。
LockBit Green 使用的不同加密文件扩展名
虽然目前并不清楚 LockBit在自有的加密器正常使用的情况下,还会使用基于 Conti 的新加密器,但PRODAFT观察到,一些前 Conti 成员似乎看好LockBit Green。自Conti 勒索软件组织解散后,已有一些黑客组织开始利用Conti的源代码,但稍显讽刺的是,这家有着俄罗斯背景的勒索软件组织的源代码现在却被一些组织用来攻击俄罗斯企业。
参考来源:LockBit ransomware goes 'Green,' uses new Conti-based encryptor