تتمثل إحدى مشكلات تشغيل عملية طلب فدية على غرار الأعمال العادية في أن الموظفين الساخطين قد يرغبون في تخريب العملية بسبب بعض الظلم المتصور.
يبدو أن هذا هو الحال مع مشغلي عملية LockBit الغزيرة لبرامج الفدية كخدمة هذا الأسبوع عندما أصدر مطور منزعج علنًا رمز التشفير لأحدث إصدار من البرامج الضارة - LockBit 3.0 المعروف أيضًا باسم LockBit Black - إلى GitHub . ولهذا التطور آثار سلبية وإيجابية على حد سواء بالنسبة للمدافعين عن الأمن.
موسم مفتوح للجميع
ويعني التوفر العام للكود أن مشغلي برامج الفدية الآخرين - والمحترفين - يمكنهم الآن الوصول إلى المُنشئ لواحدة من سلالات برامج الفدية الأكثر تطورًا وخطورة الموجودة حاليًا. ونتيجة لذلك، يمكن أن تبدأ قريبًا إصدارات مقلدة جديدة من البرامج الضارة في الانتشار وتضيف إلى مشهد تهديدات برامج الفدية الفوضوية بالفعل. وفي الوقت نفسه، يمنح الكود المسرب الباحثين الأمنيين ذوي القبعة البيضاء فرصة لتفكيك برنامج الإنشاء وفهم التهديد بشكل أفضل، وفقًا لجون هاموند، الباحث الأمني في Huntress Labs.
وقال في بيان: "إن هذا التسرب لبرنامج الإنشاء يسلع القدرة على تكوين الملفات التنفيذية وتخصيصها وإنشاءها في النهاية ليس فقط لتشفير الملفات ولكن لفك تشفيرها". "يمكن لأي شخص لديه هذه الأداة المساعدة بدء عملية كاملة لبرامج الفدية."
وأشار إلى أنه في الوقت نفسه، يمكن للباحث الأمني تحليل البرنامج وربما جمع المعلومات الاستخبارية التي يمكن أن تحبط المزيد من الهجمات. وقال هاموند: "على الأقل، يمنح هذا التسريب المدافعين فكرة أكبر عن بعض الأعمال التي تجري داخل مجموعة LockBit".
تعد Huntress Labs واحدة من العديد من الشركات الأمنية التي قامت بتحليل التعليمات البرمجية المسربة وحددت أنها شرعية.
التهديد الغزير
ظهر LockBit في عام 2019 وبرز منذ ذلك الحين كواحد من أكبر تهديدات برامج الفدية الحالية. وفي النصف الأول من عام 2022، توصل باحثون من تريند مايكرو حددت حوالي 1,843 هجومًا تتضمن LockBit، مما يجعلها أكثر سلالات برامج الفدية انتشارًا التي واجهتها الشركة هذا العام. وصف تقرير سابق صادر عن فريق أبحاث التهديدات Unit 42 التابع لشركة Palo Alto Networks الإصدار السابق من برنامج الفدية (LockBit 2.0) بأنه وهو ما يمثل 46% من جميع أحداث اختراق برامج الفدية في الأشهر الخمسة الأولى من العام. حدد الأمن موقع التسريب الخاص بـ LockBit 2.0 حيث يضم أكثر من 850 ضحية اعتبارًا من مايو. منذ إطلاق LockBit 3.0 في يونيو، الهجمات التي تنطوي على عائلة برامج الفدية لها زيادة 17٪، وفقًا لمورد الأمان Sectrio.
لقد صور مشغلو LockBit أنفسهم على أنهم مجموعة احترافية تركز بشكل أساسي على المؤسسات في قطاع الخدمات المهنية وقطاعات البيع بالتجزئة والتصنيع والجملة. وقد تعهدت المجموعة بعدم مهاجمة كيانات الرعاية الصحية والمؤسسات التعليمية والخيرية، على الرغم من أن الباحثين الأمنيين لاحظوا أن المجموعات التي تستخدم برامج الفدية تفعل ذلك على أي حال.
وفي وقت سابق من هذا العام، استحوذت المجموعة على الاهتمام عندما تعادلت أعلن عن برنامج مكافأة الأخطاء تقديم مكافآت للباحثين الأمنيين الذين اكتشفوا مشاكل في برامج الفدية الخاصة بها. ويُزعم أن المجموعة دفعت مكافأة مالية قدرها 50,000 ألف دولار إلى صائد الأخطاء الذي أبلغ عن مشكلة في برنامج التشفير الخاص به.
كود شرعي
يقول عظيم شوكوهي، الباحث في شركة Cisco Talos، إن الشركة نظرت في الكود المسرب وكل المؤشرات تشير إلى أنها المنشئ الشرعي للبرنامج. "كما تشير وسائل التواصل الاجتماعي وتعليقات مسؤول LockBit أنفسهم إلى أن المنشئ حقيقي. فهو يسمح لك بتجميع أو إنشاء نسخة شخصية من حمولة LockBit بالإضافة إلى مولد مفاتيح لفك التشفير.
ومع ذلك، فإن Shukuhi متشكك إلى حد ما بشأن مدى فائدة الكود المسرب للمدافعين. ويقول: "إن مجرد قدرتك على إجراء هندسة عكسية للمنشئ لا يعني أنه يمكنك إيقاف برنامج الفدية نفسه". "أيضًا، في العديد من الظروف، بحلول الوقت الذي يتم فيه نشر برنامج الفدية، تكون الشبكة قد تعرضت للاختراق بالكامل."
بعد التسريب، من المحتمل أيضًا أن يعمل مؤلفو LockBit بجد على إعادة كتابة المُنشئ لضمان عدم تعرض الإصدارات المستقبلية للخطر. من المحتمل أيضًا أن تتعامل المجموعة مع الأضرار التي لحقت بالعلامة التجارية بسبب التسرب. يقول شوكوهي.
أخبر هاموند من Huntress دارك ريدينغ أن التسريب كان "بالتأكيد بمثابة عفوًا [لحظة] وإحراج لشركة LockBit وأمنها التشغيلي". ولكن مثل شوكوهي، يعتقد أن المجموعة ببساطة ستغير أدواتها وتستمر كما كانت من قبل. وقال إن مجموعات التهديد الأخرى قد تستخدم هذا المنشئ لعملياتها الخاصة. أي نشاط جديد حول الكود المسرب سيؤدي فقط إلى إدامة التهديد الحالي.
وقال هاموند إن تحليل Huntress للشفرة المسربة يظهر أن الأدوات المكشوفة الآن قد تمكن الباحثين الأمنيين من العثور على عيوب أو نقاط ضعف في تنفيذ التشفير. وأضاف أن التسريب لا يقدم جميع المفاتيح الخاصة التي يمكن استخدامها لفك تشفير الأنظمة.
وأشار هاموند: "بصراحة، يبدو أن LockBit تجاهلت المشكلة كما لو أنها لم تكن مصدر قلق". وأضاف: "أوضح ممثلوهم، في الأساس، أننا قمنا بطرد المبرمج الذي سرب هذا الأمر، وأكدنا للمنتسبين والداعمين على هذا الأمر".
