Eräs ongelma, joka liittyy kiristyshaittaohjelmien suorittamiseen tavallisen liiketoiminnan tapaan, on se, että tyytymättömät työntekijät saattavat haluta sabotoida toimintaa jonkin epäoikeudenmukaisuuden vuoksi.
Näin näyttäisi olleen tällä viikolla tuottelias LockBit ransomware-as-a-service -operaation operaattoreiden kohdalla, kun ilmeisesti vihainen kehittäjä julkaisi GitHubille haittaohjelman viimeisimmän version - LockBit 3.0 eli LockBit Black - salauskoodin. . Kehityksellä on sekä kielteisiä että mahdollisesti myönteisiä seurauksia turvallisuuden puolustajille.
Avoin kausi kaikille
Koodin julkinen saatavuus tarkoittaa, että muilla ransomware-operaattoreilla - ja halutuilla - on nyt pääsy yhden kaikkein kehittyneimmistä ja vaarallisimmista tällä hetkellä luonnossa esiintyvistä ransomware-kannoista. Tämän seurauksena haittaohjelmien uudet kopiointiversiot voivat pian alkaa levitä ja lisätä jo ennestään kaoottista kiristysohjelmien uhkaa. Samalla vuotanut koodi antaa valkohattuisille tietoturvatutkijoille mahdollisuuden purkaa rakennusohjelmistot ja ymmärtää paremmin uhkaa Huntress Labsin tietoturvatutkijan John Hammondin mukaan.
"Tämä rakennusohjelmiston vuoto tekee hyödykkeeksi kyvyn konfiguroida, mukauttaa ja lopulta luoda suoritettavat tiedostot tiedostojen salaamisen lisäksi myös salauksen purkamiseksi", hän sanoi lausunnossaan. "Kuka tahansa tämän apuohjelman käyttäjä voi aloittaa täysimittaisen kiristysohjelmaoperaation."
Samalla tietoturvatutkija voi analysoida ohjelmistoa ja mahdollisesti kerätä tietoja, jotka voivat estää uudet hyökkäykset, hän totesi. "Vähintään tämä vuoto antaa puolustajille paremman käsityksen osasta LockBit-ryhmän sisällä tehtävää työtä", Hammond sanoi.
Huntress Labs on yksi useista tietoturvatoimittajista, jotka ovat analysoineet vuotaneen koodin ja todenneet sen lailliseksi.
Tuottelias uhka
LockBit ilmestyi vuonna 2019 ja on sittemmin noussut yhdeksi suurimmista tämänhetkisistä kiristysohjelmauhkista. Vuoden 2022 ensimmäisellä puoliskolla Trend Micron tutkijat tunnisti noin 1,843 XNUMX hyökkäystä mukana LockBit, mikä tekee siitä tuottoisimman kiristyshaittaohjelman, jonka yritys on kohdannut tänä vuonna. Palo Alto Networksin Unit 42 -uhkatutkimusryhmän aikaisempi raportti kuvaili kiristysohjelman aiempaa versiota (LockBit 2.0) nimellä 46 % kaikista kiristysohjelmien rikkomuksista vuoden viiden ensimmäisen kuukauden aikana. Turvallisuus havaitsi, että LockBit 2.0:n vuotopaikalla oli yli 850 uhria toukokuussa. Koska LockBit 3.0 julkaistiin kesäkuussa, hyökkäyksiä lunnasohjelmaperheeseen on tapahtunut kasvoi 17%, tietoturvatoimittaja Sectrion mukaan.
LockBitin operaattorit ovat esittäneet itsensä ammattimaisena porukkana, joka keskittyy pääasiassa asiantuntijapalvelusektorin, vähittäiskaupan, valmistuksen ja tukkukaupan organisaatioihin. Ryhmä on luvannut olla hyökkäämättä terveydenhuollon tahoja ja koulutus- ja hyväntekeväisyyslaitoksia vastaan, vaikka turvallisuustutkijat ovat havainneet, että kiristysohjelmia käyttävät ryhmät tekevät niin joka tapauksessa.
Aiemmin tänä vuonna ryhmä keräsi huomiota, kun se jopa ilmoitti bug bounty -ohjelman tarjoaa palkintoja tietoturvatutkijoille, jotka ovat löytäneet ongelmia sen kiristysohjelmista. Ryhmän väitetään maksaneen 50,000 XNUMX dollaria palkkiona virheenmetsästäjälle, joka ilmoitti ongelmasta salausohjelmistossaan.
Laillinen koodi
Cisco Talosin tutkija Azim Shukuhi sanoo, että yritys on tarkastellut vuotanutta koodia ja kaikki viittaa siihen, että se on ohjelmiston laillinen rakentaja. ”Myös sosiaalinen media ja itse LockBitin ylläpitäjän kommentit osoittavat, että rakentaja on todellinen. Sen avulla voit koota tai rakentaa henkilökohtaisen version LockBit-hyötykuormasta yhdessä avaingeneraattorin salauksen purkamista varten, hän sanoo.
Shukuhi on kuitenkin hieman epäileväinen siitä, kuinka paljon vuotanut koodi hyödyttää puolustajia. "Vain siksi, että pystyt kääntämään rakentajan, ei tarkoita, että voit pysäyttää itse kiristysohjelman", hän sanoo. "Lisäksi monissa olosuhteissa verkko on ollut täysin vaarantunut siihen mennessä, kun kiristysohjelma otetaan käyttöön."
Vuodon jälkeen LockBitin kirjoittajat ovat todennäköisesti myös kovasti työskennelleet rakentajan uudelleen kirjoittamisessa varmistaakseen, että tulevat versiot eivät vaarannu. Ryhmä on myös todennäköisesti tekemisissä vuodon aiheuttamien brändivaurioiden kanssa. Shukuhi sanoo.
Huntress' Hammond kertoi Dark Readingille, että vuoto oli "varmasti "hups" [hetki] ja hämmennystä LockBitille ja sen toimintaturvallisuudelle. Mutta kuten Shukuhi, hän uskoo, että ryhmä yksinkertaisesti muuttaa työkalujaan ja jatkaa entiseen tapaan. Muut uhkatoimijaryhmät voivat käyttää tätä rakentajaa omaan toimintaansa, hän sanoi. Mikä tahansa uusi toiminta vuotaneen koodin ympärillä vain jatkaa olemassa olevaa uhkaa.
Hammond sanoi, että Huntressin vuotaneen koodin analyysi osoittaa, että nyt paljastetut työkalut voivat antaa tietoturvatutkijoille mahdollisuuden löytää puutteita tai heikkouksia kryptografisessa toteutuksessa. Mutta vuoto ei tarjoa kaikkia yksityisiä avaimia, joita voitaisiin käyttää järjestelmien salauksen purkamiseen, hän lisäsi.
"Totisesti, LockBit näytti poistavan ongelman ikään kuin se ei olisi huolissaan", Hammond huomautti. "Heidän edustajansa selittivät, että pohjimmiltaan olemme irtisanoneet ohjelmoijan, joka vuoti tämän, ja vakuuttaneet tytäryhtiöilleen ja tukijoilleen, että tämä on liiketoimintaa."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
