Nota de răscumpărare revizuită specifica direct suma de plată pentru obținerea cheilor de decriptare și îndruma comunicările către un serviciu Tox și un e-mail, spre deosebire de grupul LockBit, care nu menționează suma și folosește propriul său platformă de comunicare și negociere.
NATIONAL HAZARD AGENCY este departe de a fi singura grupare de hackeri care utilizează builder-ul LockBit 3.0 scurs. Alți actori ai amenințării cunoscute care îl utilizează includ Bl00dy și Buhti.
Această dezvăluire vine în timp ce Netenrich a investigat o tulpină ransomware numită ADHUBLLKA, care s-a rebranduit de mai multe ori începând din 2019 (BIT, LOLKEK, OBZ, U2K și TZW), vizând indivizi și întreprinderi mici în schimbul plăților mici în intervalul de 800 până la 1600 de dolari de la fiecare victimă.
Deși fiecare dintre aceste iterații vine cu modificări minore ale schemei de criptare, notelor de răscumpărare și metodelor de comunicare, o inspecție mai atentă le-a legat pe toate de ADHUBLLKA datorită similarităților de cod sursă și infrastructură.
Ransomware-ul rămâne un ecosistem în continuă evoluție, cu schimbări frecvente de tactică și țintire pentru a se concentra din ce în ce mai mult pe mediile Linux, folosind familii precum Trigona, Monti și Akira, aceasta din urmă având legături cu actorii de amenințare afiliați la Conti.
Akira a fost de asemenea legată de atacuri care folosesc produsele Cisco VPN ca vector de atac pentru a obține acces neautorizat la rețelele enterprise. Cisco a recunoscut că infractorii vizează VPN-urile Cisco care nu sunt configurate pentru autentificare cu factori multipli.
Dezvoltarea vine și în contextul unei creșteri record a atacurilor ransomware, cu grupul Cl0p de ransomware intrând în peste 1000 de organizații cunoscute prin exploatarea vulnerabilităților în aplicația MOVEit Transfer pentru a obține accesul inițial și pentru a cripta rețelele țintite.