Et problem med at drive en ransomware-operation på linje med en almindelig virksomhed er, at utilfredse medarbejdere måske vil sabotere operationen på grund af en opfattet uretfærdighed.
Det ser ud til at have været tilfældet med operatørerne af den produktive LockBit ransomware-as-a-service operation i denne uge, da en tilsyneladende ærgerlig udvikler offentligt frigav krypteringskoden til den seneste version af malwaren - LockBit 3.0 aka LockBit Black - til GitHub . Udviklingen har både negative og potentielt positive konsekvenser for sikkerhedsforsvarere.
En åben sæson for alle
Den offentlige tilgængelighed af koden betyder, at andre ransomware-operatører - og wannabe-operatører - nu har adgang til Builder for uden tvivl en af de mest sofistikerede og farlige ransomware-stammer i øjeblikket i naturen. Som et resultat heraf kan nye copycat-versioner af malware snart begynde at cirkulere og føje til det allerede kaotiske ransomware-trussellandskab. Samtidig giver den lækkede kode hvid-hat sikkerhedsforskere en chance for at adskille buildersoftwaren og bedre forstå truslen, ifølge John Hammond, sikkerhedsforsker ved Huntress Labs.
"Denne lækage af byggesoftwaren commoditiserer evnen til at konfigurere, tilpasse og i sidste ende generere de eksekverbare filer til ikke kun at kryptere, men dekryptere filer," sagde han i en erklæring. "Enhver med dette værktøj kan starte en fuldgyldig ransomware-operation."
Samtidig kan en sikkerhedsforsker analysere softwaren og potentielt indsamle efterretninger, der kan forhindre yderligere angreb, bemærkede han. "Denne lækage giver i det mindste forsvarere større indsigt i noget af det arbejde, der foregår i LockBit-gruppen," sagde Hammond.
Huntress Labs er en af flere sikkerhedsleverandører, der har analyseret den lækkede kode og identificeret den som værende legitim.
Produktiv trussel
LockBit dukkede op i 2019 og er siden dukket op som en af de største aktuelle ransomware-trusler. I første halvdel af 2022 har forskere fra Trend Micro identificeret omkring 1,843 angreb involverer LockBit, hvilket gør det til den mest produktive ransomware-stamme, som virksomheden er stødt på i år. En tidligere rapport fra Palo Alto Networks' Unit 42 trusselforskningshold beskrev den tidligere version af ransomwaren (LockBit 2.0) som tegner sig for 46 % af alle hændelser vedrørende ransomware-brud i årets første fem måneder. Sikkerheden identificerede lækagestedet for LockBit 2.0 som en liste over 850 ofre i maj. Siden udgivelse af LockBit 3.0 i juni, har angreb, der involverer ransomware-familien øget 17%, ifølge sikkerhedsleverandøren Sectrio.
LockBits operatører har portrætteret sig selv som et professionelt outfit, der hovedsageligt er fokuseret på organisationer i den professionelle servicesektor, detailhandel, fremstilling og engros. Gruppen har erklæret ikke at angribe sundhedsenheder og uddannelses- og velgørende institutioner, selvom sikkerhedsforskere har observeret grupper, der bruger ransomware, gør det alligevel.
Tidligere i år vakte gruppen opmærksomhed, da den endda annonceret et bug bounty-program tilbyder belønninger til sikkerhedsforskere, der fandt problemer med deres ransomware. Gruppen siges at have betalt 50,000 dollars i belønningspenge til en fejljæger, der rapporterede et problem med dens krypteringssoftware.
Lovlig kode
Azim Shukuhi, en forsker hos Cisco Talos, siger, at virksomheden har set på den lækkede kode, og alt tyder på, at det er den legitime opbygger til softwaren. “Desuden indikerer sociale medier og kommentarer fra LockBits admin selv, at bygherren er ægte. Det giver dig mulighed for at samle eller bygge en personlig version af LockBit-nyttelasten sammen med en nøglegenerator til dekryptering,” siger han.
Shukuhi er dog noget i tvivl om, hvor meget den lækkede kode vil gavne forsvarere. "Bare fordi du kan reverse-engineer builderen, betyder det ikke, at du kan stoppe selve ransomwaren," siger han. "Også, under mange omstændigheder, på det tidspunkt, hvor ransomwaren er implementeret, er netværket blevet fuldstændig kompromitteret."
Efter lækagen arbejder LockBits forfattere sandsynligvis også hårdt på at omskrive builderen for at sikre, at fremtidige versioner ikke bliver kompromitteret. Gruppen har sandsynligvis også at gøre med brandskade fra lækagen. Shukuhi siger.
Huntress Hammond fortalte Dark Reading, at lækagen var "bestemt et 'ups' [øjeblik] og pinlighed for LockBit og deres operationelle sikkerhed." Men ligesom Shukuhi tror han på, at gruppen blot vil ændre deres værktøj og fortsætte som hidtil. Andre trusselsaktørgrupper kan bruge denne bygherre til deres egne operationer, sagde han. Enhver ny aktivitet omkring den lækkede kode vil blot forevige den eksisterende trussel.
Hammond sagde, at Huntress' analyse af den lækkede kode viser, at de nu afslørede værktøjer kan gøre det muligt for sikkerhedsforskere potentielt at finde fejl eller svagheder i den kryptografiske implementering. Men lækagen tilbyder ikke alle private nøgler, der kan bruges til at dekryptere systemer, tilføjede han.
"Sandt nok så LockBit ud til at fjerne problemet, som om det ikke var nogen bekymring," bemærkede Hammond. "Deres repræsentanter forklarede i det væsentlige, at vi har fyret programmøren, der lækkede dette, og forsikrede datterselskaber og supportere om den forretning."
