通常のビジネスと同じようにランサムウェアの操作を実行する際の問題の XNUMX つは、不満を抱いた従業員が、不正と認識された操作を妨害したいと考える可能性があることです。
明らかに不機嫌そうな開発者が、マルウェアの最新バージョン (LockBit 3.0 別名 LockBit Black) の暗号化コードを GitHub に公開したとき、今週、多作な LockBit ランサムウェアをサービスとして運用する操作のオペレーターに当てはまったようです。 . この開発は、セキュリティ防御者にとってマイナスと潜在的にプラスの両方の意味を持ちます。
すべての人のためのオープンシーズン
コードが公開されているということは、他のランサムウェア オペレーター (および志望者) が、おそらく現在出回っている最も洗練された危険なランサムウェアの XNUMX つであるビルダーにアクセスできるようになったことを意味します。 その結果、マルウェアの新しい模倣バージョンがすぐに広まり始め、すでに混沌としたランサムウェアの脅威の状況に追加される可能性があります。 同時に、漏えいしたコードは、ホワイト ハット セキュリティ研究者がビルダー ソフトウェアを分解し、脅威をよりよく理解する機会を与えてくれると、Huntress Labs のセキュリティ研究者である John Hammond 氏は述べています。
「このビルダー ソフトウェアのリークにより、ファイルを暗号化するだけでなく、復号化する実行可能ファイルを構成、カスタマイズ、および最終的に生成する機能がコモディティ化されます」と彼は声明で述べています。 「このユーティリティがあれば、誰でも本格的なランサムウェア操作を開始できます。」
同時に、セキュリティ研究者はソフトウェアを分析し、さらなる攻撃を阻止できるインテリジェンスを収集できる可能性があると彼は指摘しました。 「少なくとも、このリークにより、防御側は LockBit グループ内で行われているいくつかの作業についてより深い洞察を得ることができます」と Hammond 氏は述べています。
ハントレス ラボは、漏洩したコードを分析し、それが正当なものであると特定したセキュリティ ベンダーの XNUMX つです。
大量の脅威
LockBit は 2019 年に出現して以来、現在最大のランサムウェア脅威の 2022 つとして浮上しています。 XNUMX 年前半、トレンドマイクロの研究者は 1,843件の攻撃を特定 LockBit が関与しており、同社が今年遭遇した最も多作なランサムウェア株となっています。 Palo Alto Networks の Unit 42 脅威研究チームからの以前のレポートでは、ランサムウェアの以前のバージョン (LockBit 2.0) は次のように説明されていました。 ランサムウェア侵害イベント全体の 46% を占める 年の最初の 2.0 か月間。 セキュリティは、LockBit 850 のリーク サイトが XNUMX 月時点で XNUMX 人を超える被害者をリストしていることを特定しました。 以来、 3.0月にLockBit XNUMXをリリース、ランサムウェアファミリーが関与する攻撃には 増加した17%、セキュリティ ベンダーの Sectrio によると。
LockBit のオペレーターは、主に専門サービス部門、小売、製造、および卸売部門の組織に焦点を当てた専門的な組織であると自称しています。 このグループは、医療機関や教育機関、慈善団体を攻撃しないことを公言していますが、セキュリティ研究者は、ランサムウェアを使用しているグループがとにかく攻撃していることを観察しています.
今年の初め、このグループは注目を集めました。 バグ報奨金プログラムを発表 ランサムウェアの問題を発見したセキュリティ研究者に報酬を提供します。 グループが支払ったとされる 50,000ドルの報酬金 暗号化ソフトウェアの問題を報告したバグハンターに。
正当なコード
Cisco Talos の研究者である Azim Shukuhi 氏は、同社が漏洩したコードを調べたところ、すべての兆候は、それがソフトウェアの正当なビルダーであることを示していると述べています。 「また、LockBit の管理者自身からのソーシャル メディアとコメントは、ビルダーが本物であることを示しています。 これにより、LockBit ペイロードの個人用バージョンを、復号化用のキー ジェネレーターと共にアセンブルまたは構築することができます」と彼は言います。
しかし、Shukuhi は、漏洩したコードが防御側にどの程度の利益をもたらすかについて、やや懐疑的です。 「ビルダーをリバース エンジニアリングできるからといって、ランサムウェア自体を阻止できるわけではありません」と彼は言います。 「また、多くの場合、ランサムウェアが展開されるまでに、ネットワークは完全に侵害されています。」
リークに続いて、LockBit の作成者は、将来のバージョンが危険にさらされないように、ビルダーの書き直しにも熱心に取り組んでいる可能性があります。 このグループは、リークによるブランドの損害にも対処している可能性があります。 祝姫は言う。
ハントレスのハモンドはダーク・リーディングに、このリークは「ロックビットとその運用上のセキュリティにとって確かに「おっと」[瞬間]と恥ずかしさであると語った. しかし、Shukuhi のように、彼はグループがツールを変更するだけで以前と同じように継続すると信じています。 他の脅威アクター グループは、このビルダーを独自の操作に使用する可能性があると彼は述べています。 漏えいしたコードに関する新たな活動は、既存の脅威を永続させるだけです。
ハモンド氏によると、漏えいしたコードをハントレスが分析したところ、現在公開されているツールにより、セキュリティ研究者が暗号化実装の欠陥や弱点を発見できる可能性があることが示されました。 しかし、リークはシステムの解読に使用できるすべての秘密鍵を提供するわけではないと彼は付け加えた.
「正直なところ、LockBit はこの問題をまるで問題ではないかのように無視しているように見えました」と Hammond 氏は述べています。 「彼らの代表者は、本質的に、これをリークしたプログラマーを解雇し、アフィリエイトとサポーターにそのビジネスを保証したと説明しました。」