Um problema de administrar uma operação de ransomware nos moldes de uma empresa normal é que funcionários insatisfeitos podem querer sabotar a operação por causa de alguma injustiça percebida.
Esse parece ter sido o caso dos operadores da prolífica operação de ransomware como serviço LockBit esta semana, quando um desenvolvedor aparentemente irritado divulgou publicamente o código criptografador da versão mais recente do malware – LockBit 3.0, também conhecido como LockBit Black – no GitHub. . Este desenvolvimento tem implicações negativas e potencialmente positivas para os defensores da segurança.
Uma temporada aberta para todos
A disponibilidade pública do código significa que outros operadores de ransomware – e aspirantes – agora têm acesso ao construtor para, sem dúvida, uma das variedades de ransomware mais sofisticadas e perigosas atualmente em circulação. Como resultado, novas versões imitadoras do malware poderão em breve começar a circular e aumentar o já caótico cenário de ameaças de ransomware. Ao mesmo tempo, o código vazado dá aos pesquisadores de segurança de chapéu branco a chance de desmontar o software construtor e entender melhor a ameaça, de acordo com John Hammond, pesquisador de segurança do Huntress Labs.
“Esse vazamento do software construtor comoditiza a capacidade de configurar, personalizar e, por fim, gerar os executáveis não apenas para criptografar, mas também descriptografar arquivos”, disse ele em um comunicado. “Qualquer pessoa com este utilitário pode iniciar uma operação de ransomware completa.”
Ao mesmo tempo, um pesquisador de segurança pode analisar o software e potencialmente reunir informações que poderiam impedir novos ataques, observou ele. “No mínimo, esse vazamento dá aos defensores uma visão maior sobre parte do trabalho que está sendo realizado dentro do grupo LockBit”, disse Hammond.
Huntress Labs é um dos vários fornecedores de segurança que analisaram o código vazado e o identificaram como legítimo.
Ameaça Prolífica
O LockBit surgiu em 2019 e desde então emergiu como uma das maiores ameaças atuais de ransomware. No primeiro semestre de 2022, pesquisadores da Trend Micro identificou cerca de 1,843 ataques envolvendo o LockBit, tornando-o o tipo de ransomware mais prolífico que a empresa encontrou este ano. Um relatório anterior da equipe de pesquisa de ameaças da Unidade 42 da Palo Alto Networks descreveu a versão anterior do ransomware (LockBit 2.0) como responsável por 46% de todos os eventos de violação de ransomware nos primeiros cinco meses do ano. A segurança identificou o site de vazamento do LockBit 2.0 listando mais de 850 vítimas em maio. Desde o lançamento do LockBit 3.0 em junho, os ataques envolvendo a família ransomware aumentou 17%, de acordo com o fornecedor de segurança Sectrio.
Os operadores da LockBit se retrataram como um grupo profissional focado principalmente em organizações do setor de serviços profissionais, varejo, manufatura e atacado. O grupo prometeu não atacar entidades de saúde e instituições educacionais e de caridade, embora pesquisadores de segurança tenham observado que grupos que usam o ransomware o fazem de qualquer maneira.
No início deste ano, o grupo chamou a atenção quando chegou a anunciou um programa de recompensas por bugs oferecendo recompensas aos pesquisadores de segurança que encontraram problemas com seu ransomware. O grupo teria pago $ 50,000 em dinheiro de recompensa para um caçador de bugs que relatou um problema com seu software de criptografia.
Código legítimo
Azim Shukuhi, pesquisador da Cisco Talos, diz que a empresa analisou o código vazado e todas as indicações são de que ela é a construtora legítima do software. “Além disso, as mídias sociais e os comentários dos próprios administradores do LockBit indicam que o construtor é real. Ele permite que você monte ou construa uma versão pessoal da carga útil do LockBit junto com um gerador de chaves para descriptografia”, diz ele.
No entanto, Shukuhi tem dúvidas sobre o quanto o código vazado beneficiará os defensores. “Só porque você pode fazer engenharia reversa no construtor, não significa que você pode impedir o ransomware em si”, diz ele. “Além disso, em muitas circunstâncias, no momento em que o ransomware é implantado, a rede já está totalmente comprometida.”
Após o vazamento, os autores do LockBit provavelmente também estão trabalhando arduamente para reescrever o construtor para garantir que versões futuras não sejam comprometidas. O grupo provavelmente também está lidando com danos à marca causados pelo vazamento. Shukuhi diz.
Hammond, da Huntress, disse a Dark Reading que o vazamento foi “certamente um [momento] de ‘oops’ e constrangimento para o LockBit e sua segurança operacional”. Mas, assim como Shukuhi, ele acredita que o grupo simplesmente mudará suas ferramentas e continuará como antes. Outros grupos de atores de ameaças podem usar esse construtor para suas próprias operações, disse ele. Qualquer nova atividade em torno do código vazado apenas perpetuará a ameaça existente.
Hammond disse que a análise do código vazado pela Huntress mostra que as ferramentas agora expostas podem permitir que pesquisadores de segurança encontrem falhas ou pontos fracos na implementação criptográfica. Mas o vazamento não oferece todas as chaves privadas que poderiam ser usadas para descriptografar sistemas, acrescentou.
“Na verdade, o LockBit pareceu ignorar o problema como se não fosse uma preocupação”, observou Hammond. “Seus representantes explicaram, em essência, que demitimos o programador que vazou isso e garantimos aos afiliados e apoiadores esse negócio.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
