DarkVault 是一个新的勒索软件组织,其网站类似于 LockBit,它可能是模仿臭名昭著的勒索软件即服务 (RaaS) 团伙的一系列模仿者中的最新一个。
周三,安全研究员 Dominic Alvieri呼吁人们关注DarkVault 网站的重新设计。 Alvieri 在 X 上的帖子包括一张新主页的屏幕截图,展示了 LockBit 的独特风格,包括红白配色方案和类似的页面标题。
LockBit 的徽标也可以在 DarkVault 博客上找到。该组织的旧网站上有一张黑猫躺在金库上的图片,可能是指另一个勒索软件团伙 ALPHV/BlackCat。
Cybernews 报道称,DarkVault 可能是 LockBit 品牌重塑的一次尝试,但 Alvieri 后来澄清说,他发帖的目的是为了取笑“模仿者”。
据 Dark Web Informer 报道,截至周四,DarkVault 已在其 LockBit 仿冒网站上发布了 9 名所谓的受害者,该网站此前曾在 3 月 29 日发现旧版 DarkVault 网站上没有列出任何受害者。
LockBit 冒名顶替者利用泄露的 2022 RaaS 构建器
DarkVault 并不是第一个模仿 LockBit 的网络犯罪组织,其中有几个组织在自己的攻击中使用了 LockBit 的名称、品牌和泄露的勒索软件构建器。
Trellix 在周四发布的博客中指出了这一趋势,该博客还描述了自 2 月份执法部门破坏其基础设施以来原始 LockBit 的部分复兴。
LockBit 3.0 勒索软件的构建器(也称为 LockBit Black)于 2022 年被该团伙自己的一名开发人员泄露 – 从那时起,许多威胁行为者在自己的攻击中使用了该构建器。
Trellix 高级研究中心的研究人员写道,一些人按原样使用代码,只做很少的更改,例如添加自己版本的勒索字条,而另一些人则使用该构建器作为新勒索软件菌株的基础。
Dragonforce 和 Werewolves 是 2023 年出现的两个勒索软件组织,在攻击中使用 LockBit Black。据 Trellix 称,去年 9 月,Dragonforce 被发现按原样使用 LockBit 代码,但赎金票据除外,而 Werewolves 被认为可能在其团队中拥有 LockBit 附属机构,因为 Werewolves 和 LockBit 声称的受害者之间存在重叠。 。
一些冒充者不仅使用 LockBit 泄露的代码,还以与 DarkVault 类似的方式复制 RaaS 组织的网站。据趋势科技称, 2023 年 11 月,一个名为 Spacecolon 的组织在表面网络上建立了一个假的 LockBit 泄露网站,并在试图勒索受害者时在其联系方式中使用了 LockBit 名称。
LockBit 的名字还曾在 1 月份针对俄罗斯安全公司 AN-Security 的一次攻击中使用,后来遭到 LockBit 管理员“LockBitSupp”的质疑,他指出该组织并不针对俄罗斯公司。
LockBitSupp 最终将这次攻击归咎于 Cl0p RaaS 所有者“Signature”,声称竞争对手的威胁行为者试图玷污 LockBit 的声誉,以报复最近的不和。
Trellix 研究人员表示:“LockBit 冒名顶替者和利用泄露的 LockBit 构建器的机会主义勒索软件团体的出现,凸显了威胁行为者归因的复杂性以及勒索软件广泛存在所带来的持续挑战。”
LockBit 团伙回归,但能力有限
自 2 月份被关闭以来,LockBit 已重新出现,对其基础设施进行了有限的恢复,最近 Trellix 高级研究中心发现该公司试图利用 ScreenConnect 漏洞。
该组织已禁用其一些利润较低的附属机构的 RaaS 面板访问权限,并要求那些想要重新加入的附属机构支付 1 或 2 BTC(约 70,000 至 140,000 美元)的费用,以帮助防止执法机构、记者和竞争性威胁行为者根据 Trellix 的说法,获得访问权限。
LockBit 还将其附属面板拆分为多个服务器,以最大限度地减少在该面板的源代码作为国际取缔行动的一部分被扣押后执法部门进一步干预的影响。
有迹象表明,该团伙尚未从被查封的事件中完全恢复过来,包括在其泄露站点上添加和删除了几名未经证实的受害者,这可能是为了人为地夸大该团伙的活动,以及从其网站上明显删除了反 DDoS 保护, “这表明 LockBit 的防御能力可能存在缺陷,”Trellix 说。
文章原文链接:https://www.anquanke.com/post/id/295573
