برنامه‌نویس LockBit 3.0 Ransomware-Builder Code را افشا می‌کند

یکی از مشکلات اجرای یک عملیات باج‌افزار در راستای یک کسب‌وکار معمولی این است که کارمندان ناراضی ممکن است بخواهند عملیات را به دلیل برخی بی‌عدالتی‌ها خراب کنند.

به نظر می‌رسد که در مورد اپراتورهای باج‌افزار پرکار LockBit به عنوان یک سرویس در این هفته، زمانی که یک توسعه‌دهنده ظاهراً ناراحت به‌طور عمومی کد رمزگذار آخرین نسخه بدافزار - LockBit 3.0 با نام مستعار LockBit Black - را در GitHub منتشر کرد. . این توسعه پیامدهای منفی و بالقوه مثبت برای مدافعان امنیتی دارد.

یک فصل باز برای همه

در دسترس بودن عمومی کد به این معنی است که دیگر اپراتورهای باج‌افزار - و آنهایی که ناموفق هستند - اکنون به سازنده برای احتمالاً یکی از پیچیده‌ترین و خطرناک‌ترین گونه‌های باج‌افزار در حال حاضر در طبیعت دسترسی دارند. در نتیجه، نسخه‌های کپی‌کننده جدید این بدافزار می‌توانند به زودی شروع به گردش کنند و به چشم‌انداز تهدید باج‌افزار از قبل آشفته اضافه شوند. به گفته جان هاموند، محقق امنیتی در Huntress Labs، در همان زمان، کد فاش شده به محققان امنیتی کلاه سفید فرصتی می‌دهد تا نرم‌افزار سازنده را جدا کرده و تهدید را بهتر درک کنند.

او در بیانیه‌ای گفت: «این نشت نرم‌افزار سازنده، توانایی پیکربندی، سفارشی‌سازی و در نهایت تولید فایل‌های اجرایی را برای نه تنها رمزگذاری، بلکه رمزگشایی فایل‌ها را به ارمغان می‌آورد. هر کسی که این ابزار را داشته باشد می‌تواند یک عملیات باج‌افزار تمام عیار را شروع کند.» 

او خاطرنشان کرد که در همان زمان، یک محقق امنیتی می تواند نرم افزار را تجزیه و تحلیل کند و به طور بالقوه اطلاعاتی را جمع آوری کند که می تواند حملات بعدی را خنثی کند. هاموند گفت: «حداقل، این نشت به مدافعان بینش بیشتری نسبت به برخی از کارهایی که در گروه LockBit انجام می شود، می دهد. 

Huntress Labs یکی از چندین فروشنده امنیتی است که کد لو رفته را تجزیه و تحلیل کرده و آن را قانونی تشخیص داده است.

تهدید پربار

LockBit در سال 2019 ظاهر شد و از آن زمان به عنوان یکی از بزرگترین تهدیدات باج افزار فعلی ظاهر شده است. در نیمه اول سال 2022، محققان Trend Micro حدود 1,843 حمله را شناسایی کرد LockBit را شامل می شود و آن را به پرکارترین باج افزاری تبدیل می کند که این شرکت در سال جاری با آن مواجه شده است. گزارش قبلی تیم تحقیقاتی تهدیدات واحد 42 شبکه پالو آلتو، نسخه قبلی باج‌افزار (LockBit 2.0) را به این صورت توصیف کرد. 46 درصد از کل رویدادهای نقض باج افزار را تشکیل می دهد در پنج ماه اول سال. امنیت سایت لوک بیت 2.0 را با بیش از 850 قربانی تا ماه می شناسایی کرد. از آنجا که انتشار LockBit 3.0 در ماه ژوئن، حملاتی که شامل خانواده باج افزارها می شود 17٪ افزایش یافت، طبق گفته فروشنده امنیتی Sectrio.

اپراتورهای LockBit خود را به عنوان یک لباس حرفه ای نشان داده اند که عمدتاً بر سازمان هایی در بخش خدمات حرفه ای، خرده فروشی، تولید و عمده فروشی متمرکز است. این گروه متعهد شده است که به نهادهای مراقبت های بهداشتی و موسسات آموزشی و خیریه حمله نمی کند، اگرچه محققان امنیتی مشاهده کرده اند که گروه هایی که از باج افزار استفاده می کنند به هر حال این کار را انجام می دهند. 

در اوایل سال جاری، این گروه توجهات را به خود جلب کرد برنامه جایزه باگ را اعلام کرد ارائه جوایزی به محققان امنیتی که با باج افزار آن مشکل پیدا کردند. گفته می شود این گروه پول پرداخت کرده است 50,000 دلار به عنوان پاداش به شکارچی اشکال که مشکلی در نرم افزار رمزگذاری خود گزارش کرده است.

کد قانونی

عظیم شوکوهی، محقق سیسکو تالو، می‌گوید که این شرکت به کدهای لو رفته نگاه کرده است و همه نشانه‌ها حاکی از آن است که سازنده قانونی این نرم‌افزار است. همچنین، رسانه های اجتماعی و نظرات مدیر LockBit نشان می دهد که سازنده واقعی است. این به شما امکان می دهد یک نسخه شخصی از بار LockBit را همراه با یک ژنراتور کلید برای رمزگشایی مونتاژ یا بسازید.

با این حال، شوکوهی درباره اینکه کد فاش شده چقدر به نفع مدافعان خواهد بود تا حدودی مشکوک است. او می‌گوید: «فقط به این دلیل که می‌توانید سازنده را مهندسی معکوس کنید، به این معنی نیست که می‌توانید خود باج‌افزار را متوقف کنید. همچنین، در بسیاری از شرایط، تا زمان استقرار باج افزار، شبکه به طور کامل در معرض خطر قرار گرفته است.

پس از افشای اطلاعات، نویسندگان LockBit نیز به سختی در حال بازنویسی سازنده هستند تا اطمینان حاصل کنند که نسخه‌های بعدی به خطر نمی‌افتند. این گروه همچنین احتمالاً با آسیب نام تجاری ناشی از نشت مواجه است. شکوهی می گوید.

هاموند هاموند به دارک ریدینگ گفت که این نشت «مطمئناً یک لحظه [لحظه] و شرم‌آور برای LockBit و امنیت عملیاتی آن بود». اما مانند شوکوهی، او معتقد است که گروه به سادگی ابزار خود را تغییر خواهند داد و مانند قبل ادامه خواهند داد. او گفت که سایر گروه های عامل تهدید ممکن است از این سازنده برای عملیات خود استفاده کنند. هر گونه فعالیت جدید در مورد کد لو رفته فقط تهدید موجود را تداوم می بخشد.

هاموند گفت که تجزیه و تحلیل هانترس از کد فاش شده نشان می دهد که ابزارهایی که اکنون در معرض دید قرار گرفته اند ممکن است محققان امنیتی را قادر سازند تا به طور بالقوه نقص یا ضعف را در پیاده سازی رمزنگاری پیدا کنند. او افزود، اما این افشاگری همه کلیدهای خصوصی را که می‌توان برای رمزگشایی سیستم‌ها استفاده کرد، ارائه نمی‌کند.

هاموند خاطرنشان کرد: «راستش، به نظر می‌رسید که LockBit این موضوع را حل کرده است، گویی که هیچ نگرانی نیست. «نمایندگان آنها توضیح دادند، در اصل، ما برنامه‌نویسی را که این خبر را فاش کرده بود، اخراج کردیم و به وابستگان و حامیان آن کسب‌وکار اطمینان دادیم.»