Un problema con l’esecuzione di un’operazione ransomware sulla falsariga di un’attività regolare è che i dipendenti scontenti potrebbero voler sabotare l’operazione a causa di qualche ingiustizia percepita.
Questo sembra essere stato il caso degli operatori della prolifica operazione ransomware-as-a-service LockBit questa settimana, quando uno sviluppatore apparentemente irritato ha rilasciato pubblicamente il codice di crittografia per l'ultima versione del malware - LockBit 3.0 aka LockBit Black - su GitHub. . Lo sviluppo ha implicazioni sia negative che potenzialmente positive per i difensori della sicurezza.
Una stagione aperta per tutti
La disponibilità pubblica del codice significa che altri operatori di ransomware – e aspiranti tali – ora hanno accesso al generatore di quello che è probabilmente uno dei ceppi di ransomware più sofisticati e pericolosi attualmente in circolazione. Di conseguenza, nuove versioni imitative del malware potrebbero presto iniziare a circolare e ad aggiungersi al già caotico panorama delle minacce ransomware. Allo stesso tempo, il codice trapelato offre ai ricercatori di sicurezza white-hat la possibilità di smontare il software creatore e comprendere meglio la minaccia, secondo John Hammond, ricercatore di sicurezza presso Huntress Labs.
"Questa fuga di informazioni sul software builder rende disponibile la capacità di configurare, personalizzare e infine generare gli eseguibili non solo per crittografare ma decrittografare i file", ha affermato in una nota. "Chiunque abbia questa utility può avviare un'operazione ransomware a tutti gli effetti."
Allo stesso tempo, un ricercatore di sicurezza può analizzare il software e potenzialmente raccogliere informazioni che potrebbero contrastare ulteriori attacchi, ha osservato. "Come minimo, questa fuga di notizie offre ai difensori una visione più approfondita di parte del lavoro svolto all'interno del gruppo LockBit", ha affermato Hammond.
Huntress Labs è uno dei numerosi fornitori di sicurezza che hanno analizzato il codice trapelato e lo hanno identificato come legittimo.
Minaccia prolifica
LockBit è emerso nel 2019 e da allora è emerso come una delle più grandi minacce ransomware attuali. Nella prima metà del 2022, i ricercatori di Trend Micro identificato circa 1,843 attacchi che ha coinvolto LockBit, rendendolo il ceppo di ransomware più prolifico che l’azienda abbia incontrato quest’anno. Un precedente rapporto del team di ricerca sulle minacce dell'Unità 42 di Palo Alto Networks descriveva la versione precedente del ransomware (LockBit 2.0) come rappresentano il 46% di tutti gli eventi di violazione di ransomware nei primi cinque mesi dell'anno. La sicurezza ha identificato il sito della fuga di LockBit 2.0 con oltre 850 vittime a maggio. Dal momento che rilascio di LockBit 3.0 a giugno, gli attacchi che hanno coinvolto la famiglia dei ransomware hanno aumentato 17%, secondo il fornitore di sicurezza Sectrio.
Gli operatori di LockBit si sono presentati come un gruppo professionale focalizzato principalmente su organizzazioni nel settore dei servizi professionali, vendita al dettaglio, produzione e commercio all'ingrosso. Il gruppo ha dichiarato di non attaccare gli enti sanitari e le istituzioni educative e di beneficenza, anche se i ricercatori di sicurezza hanno osservato che i gruppi che utilizzano il ransomware lo fanno comunque.
All'inizio di quest'anno, il gruppo ha attirato l'attenzione quando è arrivato alla pari ha annunciato un programma di ricompensa dei bug offrendo ricompense ai ricercatori di sicurezza che hanno riscontrato problemi con il suo ransomware. Il gruppo avrebbe pagato $ 50,000 in denaro di ricompensa a un cacciatore di bug che ha segnalato un problema con il suo software di crittografia.
Codice legittimo
Azim Shukuhi, un ricercatore di Cisco Talos, afferma che la società ha esaminato il codice trapelato e tutte le indicazioni indicano che si tratta del legittimo costruttore del software. “Inoltre, i social media e i commenti degli stessi amministratori di LockBit indicano che il costruttore è reale. Ti consente di assemblare o costruire una versione personale del payload LockBit insieme a un generatore di chiavi per la decrittazione", afferma.
Tuttavia, Shukuhi è alquanto dubbioso su quanto il codice trapelato possa avvantaggiare i difensori. "Solo perché è possibile eseguire il reverse engineering del builder non significa che è possibile fermare il ransomware stesso", afferma. "Inoltre, in molte circostanze, nel momento in cui il ransomware viene distribuito, la rete è stata completamente compromessa."
In seguito alla fuga di notizie, gli autori di LockBit probabilmente stanno anche lavorando duramente per riscrivere il builder per garantire che le versioni future non vengano compromesse. È probabile che il gruppo stia anche affrontando il danno al marchio derivante dalla fuga di notizie. Shukuhi dice.
Hammond di Huntress ha detto a Dark Reading che la fuga di notizie è stata "certamente un 'oops' [momento] e imbarazzo per LockBit e la loro sicurezza operativa." Ma come Shukuhi, crede che il gruppo semplicemente cambierà i propri strumenti e continuerà come prima. Altri gruppi di autori di minacce potrebbero utilizzare questo builder per le proprie operazioni, ha affermato. Qualsiasi nuova attività attorno al codice trapelato non farà altro che perpetuare la minaccia esistente.
Hammond ha affermato che l'analisi del codice trapelato da parte di Huntress mostra che gli strumenti ora esposti potrebbero consentire ai ricercatori di sicurezza di trovare potenzialmente difetti o punti deboli nell'implementazione crittografica. Ma la fuga di notizie non fornisce tutte le chiavi private che potrebbero essere utilizzate per decrittografare i sistemi, ha aggiunto.
"A dire il vero, LockBit sembrava ignorare il problema come se non fosse preoccupante", ha osservato Hammond. "I loro rappresentanti hanno spiegato, in sostanza, che abbiamo licenziato il programmatore che ha fatto trapelare questo fatto e abbiamo assicurato agli affiliati e ai sostenitori che l'affare sarebbe avvenuto."
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
