Ena od težav pri izvajanju operacije izsiljevalske programske opreme v skladu z običajnim poslovanjem je, da nezadovoljni zaposleni morda želijo sabotirati operacijo zaradi neke zaznane krivice.
Zdi se, da je bilo tako z operaterji plodne operacije izsiljevalske programske opreme kot storitve LockBit ta teden, ko je očitno jezen razvijalec javno objavil šifrirno kodo za najnovejšo različico zlonamerne programske opreme – LockBit 3.0 alias LockBit Black – za GitHub. . Razvoj ima tako negativne kot potencialno pozitivne posledice za zagovornike varnosti.
Odprta sezona za vse
Javna dostopnost kode pomeni, da imajo drugi operaterji izsiljevalske programske opreme – in tisti, ki želijo postati – zdaj dostop do graditelja za verjetno enega najbolj sofisticiranih in nevarnih sevov izsiljevalske programske opreme, ki so trenutno v naravi. Posledično bi lahko kmalu začele krožiti nove posnemane različice zlonamerne programske opreme in prispevale k že tako kaotični pokrajini groženj izsiljevalske programske opreme. Istočasno razkrita koda daje varnostnim raziskovalcem priložnost, da razstavijo programsko opremo za gradnjo in bolje razumejo grožnjo, pravi John Hammond, varnostni raziskovalec pri Huntress Labs.
"To uhajanje programske opreme za graditelje komoditizira zmožnost konfiguriranja, prilagajanja in končno generiranja izvedljivih datotek za ne samo šifriranje, ampak tudi dešifriranje datotek," je dejal v izjavi. "Vsakdo s tem pripomočkom lahko začne popolno operacijo izsiljevalske programske opreme."
Hkrati lahko varnostni raziskovalec analizira programsko opremo in potencialno zbere obveščevalne podatke, ki bi lahko preprečili nadaljnje napade, je opozoril. "To uhajanje daje zagovornikom vsaj boljši vpogled v del dela, ki poteka znotraj skupine LockBit," je dejal Hammond.
Huntress Labs je eden izmed številnih ponudnikov varnosti, ki so analizirali razkrito kodo in jo prepoznali kot legitimno.
Plodna grožnja
LockBit se je pojavil leta 2019 in se je od takrat pojavil kot ena največjih trenutnih groženj z izsiljevalsko programsko opremo. V prvi polovici leta 2022 so raziskovalci podjetja Trend Micro odkrili približno 1,843 napadov ki vključuje LockBit, zaradi česar je najbolj plodna vrsta izsiljevalske programske opreme, s katero se je podjetje srečalo letos. Prejšnje poročilo skupine za raziskovanje groženj Unit 42 podjetja Palo Alto Networks je prejšnjo različico izsiljevalske programske opreme (LockBit 2.0) opisalo kot predstavljajo 46 % vseh dogodkov vdora izsiljevalske programske opreme v prvih petih mesecih leta. Varnostna služba je ugotovila, da je mesto odtekanja za LockBit 2.0 do maja navedlo več kot 850 žrtev. Odkar je izdaja LockBit 3.0 junija, imajo napadi, ki vključujejo družino izsiljevalskih programov povečala 17%, glede na prodajalca varnosti Sectrio.
Operaterji podjetja LockBit so se predstavili kot profesionalna organizacija, osredotočena predvsem na organizacije v sektorju profesionalnih storitev, maloprodaji, proizvodnji in veleprodaji. Skupina se je zavezala, da ne bo napadala zdravstvenih subjektov ter izobraževalnih in dobrodelnih ustanov, čeprav so varnostni raziskovalci opazili, da skupine, ki uporabljajo izsiljevalsko programsko opremo, to vseeno počnejo.
V začetku tega leta je skupina pritegnila pozornost, ko je celo napovedal program nagrade za napake ponuja nagrade varnostnim raziskovalcem, ki so odkrili težave z njegovo izsiljevalsko programsko opremo. Skupina naj bi plačala 50,000 $ denarne nagrade lovcu na hrošče, ki je prijavil težavo s svojo programsko opremo za šifriranje.
Zakonita koda
Azim Shukuhi, raziskovalec pri Cisco Talos, pravi, da je podjetje pregledalo kodo, ki je ušla, in vse kaže, da je to zakoniti graditelj programske opreme. »Tudi družbeni mediji in komentarji skrbnika LockBita sami kažejo, da je graditelj resničen. Omogoča vam sestavljanje ali izdelavo osebne različice tovora LockBit skupaj z generatorjem ključev za dešifriranje,« pravi.
Vendar pa je Shukuhi nekoliko dvomljiv glede tega, koliko bo razkrita koda koristila zagovornikom. »Samo zato, ker lahko izvedete obratni inženiring graditelja, še ne pomeni, da lahko zaustavite samo izsiljevalsko programsko opremo,« pravi. "Poleg tega je v mnogih okoliščinah do trenutka, ko je izsiljevalska programska oprema uvedena, omrežje popolnoma ogroženo."
Po uhajanju so avtorji LockBita verjetno tudi pridno delali na ponovnem pisanju graditelja, da zagotovijo, da prihodnje različice ne bodo ogrožene. Skupina se verjetno ukvarja tudi s škodo blagovne znamke zaradi uhajanja informacij. Shukuhi pravi.
Hammond Huntress je za Dark Reading povedal, da je bilo uhajanje "zagotovo 'ups' [trenutek] in zadrega za LockBit in njihovo operativno varnost." Toda tako kot Shukuhi verjame, da bo skupina preprosto spremenila svoje orodje in nadaljevala kot prej. Druge skupine akterjev groženj lahko uporabljajo tega graditelja za svoje operacije, je dejal. Vsaka nova dejavnost v zvezi z razkrito kodo bo le ohranila obstoječo grožnjo.
Hammond je dejal, da Huntressova analiza razkrite kode kaže, da lahko zdaj razkrita orodja varnostnim raziskovalcem omogočijo, da potencialno najdejo napake ali slabosti v kriptografski izvedbi. Toda uhajanje ne ponuja vseh zasebnih ključev, ki bi jih lahko uporabili za dešifriranje sistemov, je dodal.
»Resnici na ljubo se je zdelo, da je LockBit odmislil težavo, kot da ni zaskrbljujoča,« je opozoril Hammond. "Njihovi predstavniki so pojasnili, da smo v bistvu odpustili programerja, ki je to razkril, in zagotovili podružnicam in podpornikom, da gre za posel."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
