El desarrollador filtra el código del generador de ransomware LockBit 3.0

Un problema al ejecutar una operación de ransomware siguiendo los lineamientos de un negocio normal es que los empleados descontentos pueden querer sabotear la operación por alguna percepción de injusticia.

Ese parece haber sido el caso de los operadores de la prolífica operación de ransomware como servicio LockBit esta semana cuando un desarrollador aparentemente enojado lanzó públicamente el código de cifrado para la última versión del malware, LockBit 3.0, también conocido como LockBit Black, en GitHub. . Este acontecimiento tiene implicaciones tanto negativas como potencialmente positivas para los defensores de la seguridad.

Una temporada abierta para todos

La disponibilidad pública del código significa que otros operadores de ransomware (y aspirantes) ahora tienen acceso al creador de posiblemente una de las cepas de ransomware más sofisticadas y peligrosas que existen actualmente. Como resultado, pronto podrían comenzar a circular nuevas versiones imitadoras del malware y sumarse al ya caótico panorama de amenazas de ransomware. Al mismo tiempo, el código filtrado brinda a los investigadores de seguridad de sombrero blanco la oportunidad de desarmar el software de creación y comprender mejor la amenaza, según John Hammond, investigador de seguridad de Huntress Labs.

"Esta filtración del software de creación mercantiliza la capacidad de configurar, personalizar y, en última instancia, generar los ejecutables no sólo para cifrar sino también para descifrar archivos", dijo en un comunicado. "Cualquiera que tenga esta utilidad puede iniciar una operación de ransomware completa". 

Al mismo tiempo, un investigador de seguridad puede analizar el software y potencialmente recopilar información que podría frustrar futuros ataques, señaló. "Como mínimo, esta filtración brinda a los defensores una mayor comprensión de parte del trabajo que se realiza dentro del grupo LockBit", dijo Hammond. 

Huntress Labs es uno de varios proveedores de seguridad que analizaron el código filtrado y lo identificaron como legítimo.

Amenaza prolífica

LockBit apareció en 2019 y desde entonces se ha convertido en una de las mayores amenazas de ransomware actuales. En la primera mitad de 2022, investigadores de Trend Micro identificados unos 1,843 ataques que involucra a LockBit, lo que la convierte en la cepa de ransomware más prolífica que la compañía haya encontrado este año. Un informe anterior del equipo de investigación de amenazas Unidad 42 de Palo Alto Networks describió la versión anterior del ransomware (LockBit 2.0) como Representa el 46% de todos los eventos de vulneración de ransomware. en los primeros cinco meses del año. La seguridad identificó que el sitio de filtración de LockBit 2.0 enumeraba más de 850 víctimas en mayo. desde el lanzamiento de LockBit 3.0 en junio, los ataques que involucran a la familia ransomware han aumento 17%, según el proveedor de seguridad Sectrio.

Los operadores de LockBit se han presentado como una empresa profesional centrada principalmente en organizaciones del sector de servicios profesionales, comercio minorista, fabricación y comercio mayorista. El grupo ha prometido no atacar a entidades sanitarias ni a instituciones educativas y caritativas, aunque los investigadores de seguridad han observado que los grupos que utilizan el ransomware lo hacen de todos modos. 

A principios de este año, el grupo llamó la atención cuando incluso anunció un programa de recompensas por errores ofreciendo recompensas a los investigadores de seguridad que encontraron problemas con su ransomware. Se supone que el grupo pagó $50,000 en dinero de recompensa a un cazador de errores que informó un problema con su software de cifrado.

Código legítimo

Azim Shukuhi, investigador de Cisco Talos, dice que la compañía ha examinado el código filtrado y todo indica que es el creador legítimo del software. “Además, las redes sociales y los comentarios del propio administrador de LockBit indican que el constructor es real. Le permite ensamblar o construir una versión personal de la carga útil LockBit junto con un generador de claves para descifrado”, afirma.

Sin embargo, Shukuhi tiene algunas dudas sobre cuánto beneficiará el código filtrado a los defensores. "El hecho de que puedas aplicar ingeniería inversa al constructor no significa que puedas detener el ransomware en sí", afirma. "Además, en muchas circunstancias, cuando se implementa el ransomware, la red ya está completamente comprometida".

Después de la filtración, es probable que los autores de LockBit también estén trabajando arduamente para reescribir el constructor para garantizar que las versiones futuras no se vean comprometidas. Es probable que el grupo también esté lidiando con daños a la marca debido a la filtración. dice Shukuhi.

Hammond de Huntress le dijo a Dark Reading que la filtración fue "sin duda un 'ups' [momento] y una vergüenza para LockBit y su seguridad operativa". Pero al igual que Shukuhi, cree que el grupo simplemente cambiará sus herramientas y continuará como antes. Otros grupos de actores de amenazas pueden utilizar este constructor para sus propias operaciones, dijo. Cualquier nueva actividad en torno al código filtrado simplemente perpetuará la amenaza existente.

Hammond dijo que el análisis de Huntress del código filtrado muestra que las herramientas ahora expuestas podrían permitir a los investigadores de seguridad encontrar fallas o debilidades en la implementación criptográfica. Pero la filtración no ofrece todas las claves privadas que podrían usarse para descifrar sistemas, añadió.

"A decir verdad, LockBit pareció ignorar el problema como si no fuera motivo de preocupación", señaló Hammond. "Sus representantes explicaron, en esencia, que hemos despedido al programador que filtró esto y hemos asegurado a los afiliados y seguidores ese negocio".