یکی از مشکلات اجرای یک عملیات باجافزار در راستای یک کسبوکار معمولی این است که کارمندان ناراضی ممکن است بخواهند عملیات را به دلیل برخی بیعدالتیها خراب کنند.
به نظر میرسد که در مورد اپراتورهای باجافزار پرکار LockBit به عنوان یک سرویس در این هفته، زمانی که یک توسعهدهنده ظاهراً ناراحت بهطور عمومی کد رمزگذار آخرین نسخه بدافزار - LockBit 3.0 با نام مستعار LockBit Black - را در GitHub منتشر کرد. . این توسعه پیامدهای منفی و بالقوه مثبت برای مدافعان امنیتی دارد.
یک فصل باز برای همه
در دسترس بودن عمومی کد به این معنی است که دیگر اپراتورهای باجافزار - و آنهایی که ناموفق هستند - اکنون به سازنده برای احتمالاً یکی از پیچیدهترین و خطرناکترین گونههای باجافزار در حال حاضر در طبیعت دسترسی دارند. در نتیجه، نسخههای کپیکننده جدید این بدافزار میتوانند به زودی شروع به گردش کنند و به چشمانداز تهدید باجافزار از قبل آشفته اضافه شوند. به گفته جان هاموند، محقق امنیتی در Huntress Labs، در همان زمان، کد فاش شده به محققان امنیتی کلاه سفید فرصتی میدهد تا نرمافزار سازنده را جدا کرده و تهدید را بهتر درک کنند.
او در بیانیهای گفت: «این نشت نرمافزار سازنده، توانایی پیکربندی، سفارشیسازی و در نهایت تولید فایلهای اجرایی را برای نه تنها رمزگذاری، بلکه رمزگشایی فایلها را به ارمغان میآورد. هر کسی که این ابزار را داشته باشد میتواند یک عملیات باجافزار تمام عیار را شروع کند.»
او خاطرنشان کرد که در همان زمان، یک محقق امنیتی می تواند نرم افزار را تجزیه و تحلیل کند و به طور بالقوه اطلاعاتی را جمع آوری کند که می تواند حملات بعدی را خنثی کند. هاموند گفت: «حداقل، این نشت به مدافعان بینش بیشتری نسبت به برخی از کارهایی که در گروه LockBit انجام می شود، می دهد.
Huntress Labs یکی از چندین فروشنده امنیتی است که کد لو رفته را تجزیه و تحلیل کرده و آن را قانونی تشخیص داده است.
تهدید پربار
LockBit در سال 2019 ظاهر شد و از آن زمان به عنوان یکی از بزرگترین تهدیدات باج افزار فعلی ظاهر شده است. در نیمه اول سال 2022، محققان Trend Micro حدود 1,843 حمله را شناسایی کرد LockBit را شامل می شود و آن را به پرکارترین باج افزاری تبدیل می کند که این شرکت در سال جاری با آن مواجه شده است. گزارش قبلی تیم تحقیقاتی تهدیدات واحد 42 شبکه پالو آلتو، نسخه قبلی باجافزار (LockBit 2.0) را به این صورت توصیف کرد. 46 درصد از کل رویدادهای نقض باج افزار را تشکیل می دهد در پنج ماه اول سال. امنیت سایت لوک بیت 2.0 را با بیش از 850 قربانی تا ماه می شناسایی کرد. از آنجا که انتشار LockBit 3.0 در ماه ژوئن، حملاتی که شامل خانواده باج افزارها می شود 17٪ افزایش یافت، طبق گفته فروشنده امنیتی Sectrio.
اپراتورهای LockBit خود را به عنوان یک لباس حرفه ای نشان داده اند که عمدتاً بر سازمان هایی در بخش خدمات حرفه ای، خرده فروشی، تولید و عمده فروشی متمرکز است. این گروه متعهد شده است که به نهادهای مراقبت های بهداشتی و موسسات آموزشی و خیریه حمله نمی کند، اگرچه محققان امنیتی مشاهده کرده اند که گروه هایی که از باج افزار استفاده می کنند به هر حال این کار را انجام می دهند.
در اوایل سال جاری، این گروه توجهات را به خود جلب کرد برنامه جایزه باگ را اعلام کرد ارائه جوایزی به محققان امنیتی که با باج افزار آن مشکل پیدا کردند. گفته می شود این گروه پول پرداخت کرده است 50,000 دلار به عنوان پاداش به شکارچی اشکال که مشکلی در نرم افزار رمزگذاری خود گزارش کرده است.
کد قانونی
عظیم شوکوهی، محقق سیسکو تالو، میگوید که این شرکت به کدهای لو رفته نگاه کرده است و همه نشانهها حاکی از آن است که سازنده قانونی این نرمافزار است. همچنین، رسانه های اجتماعی و نظرات مدیر LockBit نشان می دهد که سازنده واقعی است. این به شما امکان می دهد یک نسخه شخصی از بار LockBit را همراه با یک ژنراتور کلید برای رمزگشایی مونتاژ یا بسازید.
با این حال، شوکوهی درباره اینکه کد فاش شده چقدر به نفع مدافعان خواهد بود تا حدودی مشکوک است. او میگوید: «فقط به این دلیل که میتوانید سازنده را مهندسی معکوس کنید، به این معنی نیست که میتوانید خود باجافزار را متوقف کنید. همچنین، در بسیاری از شرایط، تا زمان استقرار باج افزار، شبکه به طور کامل در معرض خطر قرار گرفته است.
پس از افشای اطلاعات، نویسندگان LockBit نیز به سختی در حال بازنویسی سازنده هستند تا اطمینان حاصل کنند که نسخههای بعدی به خطر نمیافتند. این گروه همچنین احتمالاً با آسیب نام تجاری ناشی از نشت مواجه است. شکوهی می گوید.
هاموند هاموند به دارک ریدینگ گفت که این نشت «مطمئناً یک لحظه [لحظه] و شرمآور برای LockBit و امنیت عملیاتی آن بود». اما مانند شوکوهی، او معتقد است که گروه به سادگی ابزار خود را تغییر خواهند داد و مانند قبل ادامه خواهند داد. او گفت که سایر گروه های عامل تهدید ممکن است از این سازنده برای عملیات خود استفاده کنند. هر گونه فعالیت جدید در مورد کد لو رفته فقط تهدید موجود را تداوم می بخشد.
هاموند گفت که تجزیه و تحلیل هانترس از کد فاش شده نشان می دهد که ابزارهایی که اکنون در معرض دید قرار گرفته اند ممکن است محققان امنیتی را قادر سازند تا به طور بالقوه نقص یا ضعف را در پیاده سازی رمزنگاری پیدا کنند. او افزود، اما این افشاگری همه کلیدهای خصوصی را که میتوان برای رمزگشایی سیستمها استفاده کرد، ارائه نمیکند.
هاموند خاطرنشان کرد: «راستش، به نظر میرسید که LockBit این موضوع را حل کرده است، گویی که هیچ نگرانی نیست. «نمایندگان آنها توضیح دادند، در اصل، ما برنامهنویسی را که این خبر را فاش کرده بود، اخراج کردیم و به وابستگان و حامیان آن کسبوکار اطمینان دادیم.»