Однією з проблем, пов’язаних із запуском операцій із програмами-вимагачами в рамках звичайного бізнесу, є те, що незадоволені працівники можуть захотіти саботувати операцію через якусь уявну несправедливість.
Схоже, це сталося з операторами плідної операції вимагачів LockBit як послуга цього тижня, коли, очевидно, розлючений розробник оприлюднив на GitHub код шифратора для останньої версії зловмисного програмного забезпечення — LockBit 3.0, також відомого як LockBit Black. . Ця подія має як негативні, так і потенційно позитивні наслідки для захисників безпеки.
Відкритий сезон для всіх
Загальнодоступність коду означає, що інші оператори програм-вимагачів — і ті, хто хоче бути — тепер мають доступ до конструктора, мабуть, одного з найскладніших і найнебезпечніших штамів програм-вимагачів, які зараз існують. Як наслідок, незабаром можуть почати поширюватися нові версії зловмисного програмного забезпечення, які копіюють, і додадуть і без того хаотичний ландшафт програм-вимагачів. У той же час витік коду дає досвідченим дослідникам безпеки шанс розібрати програмне забезпечення для створення та краще зрозуміти загрозу, за словами Джона Хеммонда, дослідника безпеки в Huntress Labs.
«Цей витік програмного забезпечення для створення комерціалізує можливість конфігурувати, налаштовувати та, зрештою, генерувати виконувані файли не лише для шифрування, але й для дешифрування файлів», — сказав він у заяві. «Будь-хто з цією утилітою може почати повноцінну операцію з програмами-вимагачами».
У той же час дослідник безпеки може проаналізувати програмне забезпечення та потенційно зібрати інформацію, яка могла б перешкодити подальшим атакам, зазначив він. «Як мінімум, цей витік дає захисникам краще уявлення про частину роботи, яка відбувається в групі LockBit», — сказав Хаммонд.
Huntress Labs є одним із кількох постачальників засобів безпеки, які проаналізували витік коду та визначили його як законний.
Плідна загроза
LockBit з’явився в 2019 році і з тих пір став однією з найбільших поточних загроз програм-вимагачів. У першій половині 2022 року дослідники з Trend Micro ідентифікували близько 1,843 нападів із залученням LockBit, що робить його найпоширенішим штамом програми-вимагача, з яким компанія стикалася цього року. У попередньому звіті групи дослідження загроз Unit 42 Palo Alto Networks описано попередню версію програми-вимагача (LockBit 2.0) як на які припадає 46% усіх подій зловмисних програм-вимагачів за перші п'ять місяців року. Служба безпеки визначила сайт витоку для LockBit 2.0, у якому станом на травень було перераховано понад 850 жертв. Оскільки випуск LockBit 3.0 у червні, атаки за участю сімейства програм-вимагачів мають збільшено 17%, за даними постачальника безпеки Sectrio.
Оператори LockBit представили себе як професійну компанію, яка зосереджена в основному на організаціях у секторі професійних послуг, роздрібній торгівлі, виробництві та оптовій торгівлі. Група пообіцяла не атакувати установи охорони здоров’я, освітні та благодійні установи, хоча дослідники безпеки помітили, що групи, які використовують програми-вимагачі, все одно роблять це.
На початку цього року група привернула увагу, коли навіть оголосив програму винагороди за помилки пропонуючи винагороди дослідникам безпеки, які виявили проблеми з програмою-вимагачем. Стверджується, що група заплатила 50,000 XNUMX доларів винагороди мисливцю за помилками, який повідомив про проблему з його програмним забезпеченням шифрування.
Законний код
Азім Шукухі, дослідник із Cisco Talos, каже, що компанія переглянула витік коду та все вказує на те, що це законний розробник програмного забезпечення. «Крім того, соціальні мережі та коментарі адміністратора LockBit самі вказують на те, що конструктор справжній. Це дозволяє зібрати або створити особисту версію корисного навантаження LockBit разом із генератором ключів для дешифрування», — каже він.
Однак Шукухі дещо сумнівається щодо того, наскільки витік коду принесе користь захисникам. «Те, що ви можете перепроектувати конструктор, не означає, що ви можете зупинити саме програмне забезпечення-вимагач», — каже він. «Крім того, у багатьох випадках до моменту розгортання програми-вимагача мережа вже була повністю скомпрометована».
Після витоку автори LockBit також, ймовірно, наполегливо працюють над переписуванням конструктора, щоб гарантувати, що майбутні версії не будуть скомпрометовані. Група також, ймовірно, має справу зі збитком бренду від витоку. Шукухі каже.
Хаммонд із Huntress сказав Dark Reading, що витік «безумовно, був «упс» [моментом] і збентеженням для LockBit та їхньої операційної безпеки». Але, як і Шукухі, він вірить, що група просто змінить свої інструменти та продовжить роботу, як і раніше. За його словами, інші групи загроз можуть використовувати цей конструктор для власних операцій. Будь-яка нова діяльність навколо витоку коду лише увічнить існуючу загрозу.
Хаммонд сказав, що аналіз витоку коду, проведений Huntress, показує, що викриті інструменти можуть дозволити дослідникам безпеки потенційно знайти недоліки або слабкі місця в криптографічній реалізації. Але витік не пропонує всіх закритих ключів, які можна використовувати для дешифрування систем, додав він.
«По правді кажучи, LockBit, здавалося, відмахнувся від проблеми, наче це не хвилювало», — зазначив Хаммонд. «Їхні представники пояснили, що, по суті, ми звільнили програміста, який оприлюднив це, і запевнили афілійованих осіб і прихильників у цьому».
