Wycieki programisty LockBit 3.0 Ransomware-Builder Code

Jednym z problemów związanych z prowadzeniem działalności związanej z oprogramowaniem ransomware na wzór zwykłej działalności jest to, że niezadowoleni pracownicy mogą chcieć sabotować operację z powodu domniemanej niesprawiedliwości.

Wydaje się, że tak właśnie było w przypadku operatorów płodnej operacji ransomware jako usługi LockBit w tym tygodniu, kiedy najwyraźniej zirytowany programista udostępnił GitHubowi kod szyfrujący najnowszej wersji złośliwego oprogramowania — LockBit 3.0, czyli LockBit Black. . Rozwój ten ma zarówno negatywne, jak i potencjalnie pozytywne konsekwencje dla obrońców bezpieczeństwa.

Sezon otwarty dla wszystkich

Publiczna dostępność kodu oznacza, że ​​inni operatorzy oprogramowania ransomware — i ci, którzy chcą tego dokonać — mają teraz dostęp do kreatora prawdopodobnie jednej z najbardziej wyrafinowanych i niebezpiecznych odmian oprogramowania ransomware dostępnych obecnie na wolności. W rezultacie nowe kopie szkodliwego oprogramowania mogą wkrótce zacząć krążyć i uzupełniać i tak już chaotyczny krajobraz zagrożeń oprogramowaniem ransomware. Jednocześnie według Johna Hammonda, badacza bezpieczeństwa w Huntress Labs, wyciekający kod daje badaczom bezpieczeństwa białych kapeluszy szansę na rozmontowanie oprogramowania do tworzenia oprogramowania i lepsze zrozumienie zagrożenia.

„Ten wyciek oprogramowania kreatora oznacza możliwość konfigurowania, dostosowywania i ostatecznie generowania plików wykonywalnych w celu nie tylko szyfrowania, ale i deszyfrowania plików” – stwierdził w oświadczeniu. „Każdy posiadacz tego narzędzia może rozpocząć pełnoprawną operację ransomware.” 

Jednocześnie badacz bezpieczeństwa może analizować oprogramowanie i potencjalnie gromadzić informacje, które mogłyby udaremnić dalsze ataki – zauważył. „Ten wyciek daje obrońcom co najmniej lepszy wgląd w część prac prowadzonych w grupie LockBit” – powiedział Hammond. 

Huntress Labs jest jednym z kilku dostawców zabezpieczeń, którzy przeanalizowali wyciekający kod i zidentyfikowali go jako legalny.

Płodne zagrożenie

LockBit pojawił się w 2019 roku i od tego czasu stał się jednym z największych obecnych zagrożeń oprogramowaniem ransomware. W pierwszej połowie 2022 r. badacze z Trend Micro zidentyfikował około 1,843 ataków z udziałem LockBit, co czyni go najbardziej płodną odmianą oprogramowania ransomware, z jaką firma spotkała się w tym roku. We wcześniejszym raporcie zespołu badawczego Unit 42 firmy Palo Alto Networks opisano, że poprzednia wersja oprogramowania ransomware (LockBit 2.0) była odpowiada za 46% wszystkich przypadków włamań do oprogramowania ransomware w ciągu pierwszych pięciu miesięcy roku. Ochrona zidentyfikowała miejsce wycieku LockBit 2.0, według stanu na maj, w którym znajdowało się ponad 850 ofiar. Od wydanie LockBit 3.0 w czerwcu, ataki z udziałem rodziny ransomware zwiększono 17%według dostawcy zabezpieczeń Sectrio.

Operatorzy LockBit przedstawiali się jako profesjonalna firma skupiona głównie na organizacjach z sektora usług profesjonalnych, handlu detalicznego, produkcyjnego i hurtowego. Grupa oświadczyła, że ​​nie będzie atakować podmiotów z branży opieki zdrowotnej oraz instytucji edukacyjnych i charytatywnych, chociaż badacze bezpieczeństwa zaobserwowali, że grupy korzystające z oprogramowania ransomware i tak to robią. 

Na początku tego roku grupa przykuła uwagę nawet wtedy, gdy była wyrównana ogłosił program nagród za błędy oferując nagrody badaczom bezpieczeństwa, którzy znaleźli problemy z oprogramowaniem ransomware. Zarzuca się, że grupa zapłaciła Nagroda pieniężna w wysokości 50,000 XNUMX dolarów do łowcy błędów, który zgłosił problem z oprogramowaniem szyfrującym.

Legalny kod

Azim Shukuhi, badacz w Cisco Talos, twierdzi, że firma przyjrzała się kodowi, który wyciekł i wszystko wskazuje na to, że jest to legalny twórca oprogramowania. „Ponadto media społecznościowe i komentarze samego administratora LockBit wskazują, że budowniczy jest prawdziwy. Umożliwia złożenie lub zbudowanie osobistej wersji ładunku LockBit wraz z generatorem klucza do odszyfrowania” – mówi.

Shukuhi ma jednak pewne wątpliwości, w jakim stopniu obrońcy skorzystają z ujawnionego kodu. „To, że można dokonać inżynierii wstecznej konstruktora, nie oznacza, że ​​można zatrzymać samo oprogramowanie ransomware” – mówi. „Ponadto w wielu przypadkach zanim oprogramowanie ransomware zostanie wdrożone, sieć jest już w pełni zagrożona”.

Po wycieku autorzy LockBit prawdopodobnie również ciężko pracują nad przepisaniem kreatora, aby mieć pewność, że przyszłe wersje nie zostaną naruszone. Grupa prawdopodobnie zajmie się także szkodami marki wynikającymi z wycieku. mówi Shukuhi.

Hammond z Huntress powiedział Dark Reading, że wyciek był „z pewnością [chwilą] ups i wstydem dla LockBit i jego bezpieczeństwa operacyjnego”. Jednak podobnie jak Shukuhi wierzy, że grupa po prostu zmieni swoje narzędzia i będzie kontynuować działalność jak wcześniej. Powiedział, że inne grupy aktorów zagrażających mogą używać tego kreatora do własnych operacji. Wszelkie nowe działania związane z wyciekającym kodem po prostu utrwalą istniejące zagrożenie.

Hammond powiedział, że analiza ujawnionego kodu przeprowadzona przez Huntress pokazuje, że ujawnione obecnie narzędzia mogą umożliwić badaczom bezpieczeństwa potencjalne znalezienie wad lub słabości w implementacji kryptograficznej. Dodał jednak, że wyciek nie udostępnia wszystkich kluczy prywatnych, które można wykorzystać do odszyfrowania systemów.

„Prawdę mówiąc, LockBit zdawał się ignorować ten problem, jakby nie stanowił żadnego problemu” – zauważył Hammond. „Ich przedstawiciele w skrócie wyjaśnili, że zwolniliśmy programistę, który to ujawnił, i zapewnili współpracowników i zwolenników, że to biznes”.