Üheks probleemiks lunavaraoperatsiooni läbiviimisel tavapärase äritegevuse eeskujul on see, et rahulolematud töötajad võivad soovida operatsiooni saboteerida mõne tajutava ebaõigluse tõttu.
See näib olevat juhtunud sel nädalal viljaka LockBiti lunavara kui teenuse operaatorite puhul, kui ilmselt pahane arendaja avaldas GitHubile avalikult pahavara uusima versiooni LockBit 3.0 ehk LockBit Black krüpteerimiskoodi. . Arengul on julgeolekukaitsjatele nii negatiivne kui ka potentsiaalselt positiivne mõju.
Avatud hooaeg kõigile
Koodi avalik kättesaadavus tähendab, et teistel lunavaraoperaatoritel – ja ihaldajatel – on nüüd juurdepääs ühe kõige keerukama ja ohtlikuma lunavaratüve puhul, mis praegu looduses leidub. Selle tulemusena võivad peagi hakata ringlema pahavara uued kopeerimisversioonid ja lisanduda niigi kaootilisele lunavaraohumaastikule. Samal ajal annab lekkinud kood Huntress Labsi turvauurija John Hammondi sõnul valge mütsiga turbeuurijatele võimaluse ehitustarkvara lahti võtta ja ohtu paremini mõista.
"See ehitajatarkvara leke muudab kaubaks võime konfigureerida, kohandada ja lõpuks genereerida käivitatavaid faile mitte ainult failide krüptimiseks, vaid ka dekrüpteerimiseks," ütles ta avalduses. "Igaüks, kellel on see utiliit, saab alustada täieõiguslikku lunavaraoperatsiooni."
Samal ajal saab turvateadlane analüüsida tarkvara ja potentsiaalselt koguda luureandmeid, mis võivad edasisi rünnakuid nurjata, märkis ta. "See leke annab vähemalt kaitsjatele parema ülevaate mõnest LockBiti grupis toimuvast tööst," ütles Hammond.
Huntress Labs on üks mitmest turbemüüjast, kes on lekkinud koodi analüüsinud ja tuvastanud, et see on seaduslik.
Viljakas oht
LockBit ilmus 2019. aastal ja on sellest ajast alates tõusnud üheks suurimaks praeguseks lunavaraohtuks. 2022. aasta esimesel poolel tegid Trend Micro teadlased tuvastas umbes 1,843 rünnakut kaasates LockBiti, muutes selle kõige viljakamaks lunavaratüveks, millega ettevõte sel aastal kokku puutunud. Palo Alto Networksi Unit 42 ohuuuringute meeskonna varasem aruanne kirjeldas lunavara eelmist versiooni (LockBit 2.0) kui moodustades 46% kõigist lunavara rikkumistest aasta esimesel viiel kuul. Turvaamet tuvastas, et LockBit 2.0 lekkekohas oli mai seisuga üle 850 ohvri. Alates juunis ilmus LockBit 3.0, on esinenud lunavaraperekonnaga seotud rünnakuid suurenenud 17%, vastavalt turvamüüjale Sectrio.
LockBiti operaatorid on kujutanud end professionaalse varustusena, mis keskendub peamiselt professionaalsete teenuste sektori, jaemüügi, tootmis- ja hulgimüügisektori organisatsioonidele. Rühm on lubanud mitte rünnata tervishoiuasutusi ning haridus- ja heategevusasutusi, kuigi turvateadlased on täheldanud, et lunavara kasutavad rühmad teevad seda niikuinii.
Selle aasta alguses pälvis rühm tähelepanu, kui see isegi oli kuulutas välja bug bounty programmi pakkudes auhindu turvauurijatele, kes avastasid selle lunavaraga probleeme. Väidetavalt maksis rühmitus 50,000 XNUMX dollarit preemiaraha veakütile, kes teatas oma krüpteerimistarkvara probleemist.
Legitaalne kood
Cisco Talose teadlase Azim Shukuhi sõnul on ettevõte lekkinud koodi vaadanud ja kõik märgid näitavad, et see on tarkvara seaduslik koostaja. “Samuti näitavad sotsiaalmeedia ja LockBiti admini kommentaarid, et ehitaja on tõeline. See võimaldab teil kokku panna või ehitada LockBiti kasuliku koormuse isikliku versiooni koos võtmegeneraatoriga dekrüpteerimiseks, "ütleb ta.
Shukuhi on aga mõnevõrra kahtlev, kui palju lekkinud koodist kaitsjatele kasu on. "See, et saate ehitajat pöördprojekteerida, ei tähenda, et saate lunavara enda peatada," ütleb ta. "Samuti on paljudel juhtudel lunavara juurutamise ajaks võrk täielikult ohustatud."
Pärast leket näevad LockBiti autorid tõenäoliselt kõvasti tööd ka ehitaja ümberkirjutamisega, et tulevased versioonid ei satuks ohtu. Tõenäoliselt tegeleb rühmitus ka lekke põhjustatud kaubamärgikahjustustega. Shukuhi ütleb.
Huntress' Hammond ütles Dark Readingile, et leke oli "kindlasti "oops" [hetk] ja piinlik LockBiti ja nende tööturvalisuse pärast. Kuid nagu Shukuhi, usub ta, et grupp lihtsalt muudab oma tööriistu ja jätkab endistviisi. Teised ohus osalejate rühmad võivad seda ehitajat oma operatsioonideks kasutada, ütles ta. Igasugune uus tegevus lekkinud koodi ümber ainult põlistab olemasolevat ohtu.
Hammond ütles, et Huntressi lekkinud koodi analüüs näitab, et nüüd avalikustatud tööriistad võivad võimaldada turvauurijatel leida krüptograafilises rakenduses vigu või nõrkusi. Kuid leke ei paku kõiki privaatvõtmeid, mida saaks süsteemide dekrüpteerimiseks kasutada, lisas ta.
"Tõesti, tundus, et LockBit lükkas probleemi maha, nagu poleks see muret tekitanud," märkis Hammond. "Nende esindajad selgitasid, et sisuliselt vallandasime selle lekitanud programmeerija ning kinnitasid sidusettevõtetele ja toetajatele, et see äri on."
