Normal bir iş çerçevesinde fidye yazılımı operasyonu yürütmenin bir sorunu, hoşnutsuz çalışanların algılanan adaletsizlik nedeniyle operasyonu sabote etmek isteyebilmesidir.
Bu hafta, görünüşte sinirlenmiş bir geliştiricinin, kötü amaçlı yazılımın en son sürümü olan LockBit 3.0, diğer ismiyle LockBit Black'in şifreleme kodunu GitHub'a kamuoyuna açıkladığı, üretken LockBit hizmet olarak fidye yazılımı operasyonunun operatörleri için de durum aynı gibi görünüyor. . Bu gelişmenin güvenlik savunucuları için hem olumsuz hem de potansiyel olarak olumlu sonuçları var.
Herkese Açık Bir Sezon
Kodun kamuya açık olması, diğer fidye yazılımı operatörlerinin (ve özenti olanların) artık tartışmasız şu anda piyasada bulunan en karmaşık ve tehlikeli fidye yazılımı türlerinden biri için geliştiriciye erişebileceği anlamına geliyor. Sonuç olarak, kötü amaçlı yazılımın yeni kopya sürümleri yakında dolaşıma girmeye başlayabilir ve zaten kaotik olan fidye yazılımı tehdit ortamına katkıda bulunabilir. Huntress Labs güvenlik araştırmacısı John Hammond'a göre sızdırılan kod aynı zamanda beyaz şapkalı güvenlik araştırmacılarına inşaat yazılımını parçalara ayırma ve tehdidi daha iyi anlama şansı veriyor.
Bir açıklamada, "Oluşturucu yazılımının bu sızıntısı, dosyaları yalnızca şifrelemek için değil aynı zamanda şifresini çözmek için yapılandırma, özelleştirme ve sonuçta yürütülebilir dosyalar oluşturma yeteneğini metalaştırıyor" dedi. "Bu yardımcı programa sahip olan herkes tam teşekküllü bir fidye yazılımı operasyonu başlatabilir."
Aynı zamanda, bir güvenlik araştırmacısının yazılımı analiz edebileceğini ve potansiyel olarak daha sonraki saldırıları engelleyebilecek istihbarat toplayabileceğini belirtti. Hammond, "Bu sızıntı en azından savunuculara LockBit grubu içinde devam eden bazı çalışmalara dair daha fazla bilgi sağlıyor" dedi.
Huntress Labs, sızdırılan kodu analiz eden ve meşru olduğunu tespit eden birkaç güvenlik tedarikçisinden biri.
Üretken Tehdit
LockBit 2019'da ortaya çıktı ve o zamandan beri mevcut en büyük fidye yazılımı tehditlerinden biri olarak ortaya çıktı. 2022'nin ilk yarısında Trend Micro'dan araştırmacılar yaklaşık 1,843 saldırı tespit edildi LockBit'i içeren bu saldırı, şirketin bu yıl karşılaştığı en üretken fidye yazılımı türü haline geldi. Palo Alto Networks'ün Birim 42 tehdit araştırma ekibinin daha önceki bir raporu, fidye yazılımının önceki sürümünü (LockBit 2.0) şu şekilde tanımladı: tüm fidye yazılımı ihlali olaylarının %46'sını oluşturuyor yılın ilk beş ayında. Güvenlik, LockBit 2.0 sızıntısının olduğu sitenin Mayıs ayı itibarıyla 850'den fazla kurbanı listelediğini tespit etti. Beri LockBit 3.0'ın Haziran'da piyasaya sürülmesifidye yazılımı ailesini içeren saldırılar artış 17%Güvenlik sağlayıcısı Sectrio'ya göre.
LockBit'in operatörleri kendilerini esas olarak profesyonel hizmetler sektörü, perakende, imalat ve toptan satış sektörlerindeki kuruluşlara odaklanan profesyonel bir ekip olarak tanımladılar. Grup, sağlık kurumlarına, eğitim ve hayır kurumlarına saldırmayacağını açıklamış olsa da güvenlik araştırmacıları fidye yazılımını kullanan grupların bunu yine de yaptığını gözlemledi.
Bu yılın başlarında grup dikkatleri üzerine çekti. bir hata ödül programı duyurdu Fidye yazılımında sorunlar bulan güvenlik araştırmacılarına ödüller sunuyor. Grubun para ödediği iddia ediliyor 50,000$ ödül parası şifreleme yazılımıyla ilgili bir sorun bildiren bir hata avcısına.
Yasal Kod
Cisco Talos'ta araştırmacı olan Azim Shukuhi, şirketin sızdırılan kodu incelediğini ve tüm göstergelerin bu kodun yazılımın meşru geliştiricisi olduğunu gösterdiğini söylüyor. “Ayrıca sosyal medya ve LockBit yöneticisinin yorumları da inşaatçının gerçek olduğunu gösteriyor. Şifre çözme için bir anahtar oluşturucuyla birlikte LockBit yükünün kişisel bir versiyonunu birleştirmenize veya oluşturmanıza olanak tanıyor" diyor.
Ancak Shukuhi, sızdırılan kodun savunmacılara ne kadar fayda sağlayacağı konusunda şüpheli. "Oluşturucuya tersine mühendislik uygulayabilmeniz, fidye yazılımını durdurabileceğiniz anlamına gelmez" diyor. "Ayrıca birçok durumda, fidye yazılımı dağıtıldığında ağ tamamen ele geçirilmiş olur."
Sızıntının ardından LockBit'in yazarları, gelecekteki sürümlerin tehlikeye girmeyeceğinden emin olmak için oluşturucuyu yeniden yazmak için yoğun bir şekilde çalışıyorlar. Grubun aynı zamanda sızıntı nedeniyle markanın zarar görmesi ile de karşı karşıya olması muhtemel. Shukuhi diyor.
Huntress'ten Hammond, Dark Reading'e sızıntının "kesinlikle bir 'ayy' [an] olduğunu ve LockBit ve onların operasyonel güvenliği için utanç verici olduğunu" söyledi. Ancak Shukuhi gibi o da grubun aletlerini değiştirip eskisi gibi devam edeceğine inanıyor. Diğer tehdit aktörü gruplarının bu oluşturucuyu kendi operasyonları için kullanabileceğini söyledi. Sızan kodla ilgili herhangi bir yeni etkinlik, mevcut tehdidin devam etmesine yol açacaktır.
Hammond, Huntress'in sızdırılan kodla ilgili analizinin, şu anda açığa çıkan araçların güvenlik araştırmacılarının kriptografik uygulamadaki potansiyel kusurları veya zayıflıkları bulmasına olanak sağlayabileceğini gösterdiğini söyledi. Ancak sızıntının sistemlerin şifresini çözmek için kullanılabilecek tüm özel anahtarları sunmadığını da sözlerine ekledi.
Hammond, "Doğrusunu söylemek gerekirse LockBit, sanki hiçbir sorun yokmuş gibi konuyu geçiştiriyor gibi görünüyordu" dedi. "Temsilcileri, aslında bunu sızdıran programcıyı kovduğumuzu ve bağlı kuruluşlara ve destekçilere bu işin yapılacağına dair güvence verdiğimizi açıkladı."
