L’operazione ransomware LostTrust è ritenuta un rebranding di MetaEncryptor, utilizzando siti di perdita di dati e cifratori quasi identici. LostTrust ha iniziato ad attaccare le organizzazioni a marzo 2023, ma è diventato noto a settembre, quando ha iniziato a utilizzare un sito di perdita di dati. Attualmente, il sito elenca 53 vittime in tutto il mondo, alcune delle quali hanno già subito la perdita dei loro dati per non aver pagato un riscatto.
MetaEncryptor è un’operazione ransomware che si ritiene sia stata lanciata nell’agosto 2022, accumulando dodici vittime sul loro sito di perdita di dati fino a luglio 2023, dopodiché non sono state aggiunte nuove vittime al sito. Questo mese, è stato lanciato un nuovo sito di perdita di dati per la gang ‘LostTrust’, con il ricercatore di cybersecurity Stefano Favarato che ha rapidamente notato che utilizza lo stesso esatto template e bio del sito di perdita di dati di MetaEncryptor.
BleepingComputer ha anche scoperto che sia i cifratori LostTrust che MetaEncryptor sono virtualmente identici, con alcune piccole modifiche alle note di riscatto, chiavi pubbliche incorporate, nomi delle note di riscatto e estensioni dei file cifrati. Inoltre, il ricercatore di cybersecurity MalwareHunterTeam ha detto a BleepingComputer che LostTrust e MetaEncryptor si basano sul cifratore ransomware SFile2. Questa relazione è ulteriormente confermata da una scansione Intezer che mostra un sacco di sovrapposizione di codice tra i cifratori LostTrust e SFile.
Nonostante non ci siano segni apparenti dell’utilizzo dell’Attacco Marvin da parte degli hacker, la divulgazione dei dettagli e delle parti dei test e del codice di fuzzing aumenta il rischio che ciò accada a breve. I ricercatori consigliano di non utilizzare la crittografia RSA PKCS#1 v1.5 e invitano gli utenti interessati a cercare o richiedere ai fornitori di fornire alternative vie di compatibilità retroattiva.