Le développeur fuit le code de construction du rançongiciel LockBit 3.0

L’un des problèmes liés à la gestion d’une opération de ransomware selon le modèle d’une entreprise ordinaire est que des employés mécontents peuvent vouloir saboter l’opération en raison d’une injustice perçue.

Cela semble avoir été le cas des opérateurs de la prolifique opération de ransomware-as-a-service LockBit cette semaine lorsqu'un développeur apparemment irrité a publié publiquement le code de chiffrement de la dernière version du malware - LockBit 3.0 alias LockBit Black - sur GitHub. . Cette évolution a des implications à la fois négatives et potentiellement positives pour les défenseurs de la sécurité.

Une saison ouverte à tous

La disponibilité publique du code signifie que d’autres opérateurs de ransomware – et ceux en herbe – ont désormais accès au constructeur pour sans doute l’une des souches de ransomware les plus sophistiquées et les plus dangereuses actuellement disponibles. En conséquence, de nouvelles versions copiées du malware pourraient bientôt commencer à circuler et s’ajouter au paysage déjà chaotique des menaces de ransomware. Dans le même temps, le code divulgué donne aux chercheurs en sécurité au chapeau blanc une chance de démonter le logiciel de création et de mieux comprendre la menace, selon John Hammond, chercheur en sécurité chez Huntress Labs.

"Cette fuite du logiciel de création banalise la possibilité de configurer, personnaliser et finalement générer les exécutables pour non seulement chiffrer mais décrypter les fichiers", a-t-il déclaré dans un communiqué. « Toute personne disposant de cet utilitaire peut lancer une opération de ransomware à part entière. » 

Dans le même temps, un chercheur en sécurité peut analyser le logiciel et potentiellement recueillir des renseignements qui pourraient contrecarrer de nouvelles attaques, a-t-il noté. "Au minimum, cette fuite donne aux défenseurs un meilleur aperçu d'une partie du travail en cours au sein du groupe LockBit", a déclaré Hammond. 

Huntress Labs est l'un des nombreux fournisseurs de sécurité qui ont analysé le code divulgué et l'ont identifié comme étant légitime.

Menace prolifique

LockBit a fait surface en 2019 et est depuis devenu l'une des plus grandes menaces de ransomware actuelles. Au premier semestre 2022, des chercheurs de Trend Micro identifié quelque 1,843 XNUMX attaques impliquant LockBit, ce qui en fait la souche de ransomware la plus prolifique que l'entreprise ait rencontrée cette année. Un rapport antérieur de l’équipe de recherche sur les menaces Unit 42 de Palo Alto Networks décrivait la version précédente du ransomware (LockBit 2.0) comme suit : représentant 46 % de tous les événements de violation de ransomware au cours des cinq premiers mois de l'année. La sécurité a identifié le site de fuite de LockBit 2.0 comme répertoriant plus de 850 victimes en mai. Depuis le sortie de LockBit 3.0 en juin, les attaques impliquant la famille des ransomwares ont augmenté 17%, selon le fournisseur de sécurité Sectrio.

Les opérateurs de LockBit se présentent comme une entreprise professionnelle axée principalement sur les organisations du secteur des services professionnels, de la vente au détail, de la fabrication et de la vente en gros. Le groupe a déclaré ne pas attaquer les établissements de santé et les établissements d'enseignement et caritatifs, bien que les chercheurs en sécurité aient observé que les groupes utilisant le ransomware le faisaient quand même. 

Plus tôt cette année, le groupe a attiré l'attention lorsqu'il a même a annoncé un programme de bug bounty offrant des récompenses aux chercheurs en sécurité qui ont trouvé des problèmes avec son ransomware. Le groupe aurait payé 50,000 XNUMX $ en récompense à un chasseur de bogues qui a signalé un problème avec son logiciel de cryptage.

Code légitime

Azim Shukuhi, chercheur chez Cisco Talos, affirme que la société a examiné le code divulgué et que tout indique qu'il s'agit du constructeur légitime du logiciel. « De plus, les médias sociaux et les commentaires de l’administrateur de LockBit lui-même indiquent que le constructeur est réel. Il vous permet d'assembler ou de créer une version personnelle de la charge utile LockBit ainsi qu'un générateur de clé pour le décryptage », dit-il.

Cependant, Shukuhi est quelque peu sceptique quant à l'utilité du code divulgué pour les défenseurs. « Ce n’est pas parce que vous pouvez procéder à une ingénierie inverse du constructeur que vous pouvez arrêter le ransomware lui-même », dit-il. « De plus, dans de nombreuses circonstances, au moment où le ransomware est déployé, le réseau est entièrement compromis. »

Suite à la fuite, les auteurs de LockBit travaillent probablement dur pour réécrire le constructeur pour garantir que les futures versions ne seront pas compromises. Le groupe est également probablement confronté aux dommages causés à la marque par la fuite. dit Shukuhi.

Hammond de Huntress a déclaré à Dark Reading que la fuite était « certainement un « oups » [moment] et un embarras pour LockBit et leur sécurité opérationnelle ». Mais comme Shukuhi, il estime que le groupe va simplement modifier ses outils et continuer comme avant. D’autres groupes d’acteurs menaçants pourraient utiliser ce constructeur pour leurs propres opérations, a-t-il déclaré. Toute nouvelle activité autour du code divulgué ne fera que perpétuer la menace existante.

Hammond a déclaré que l’analyse du code divulgué par Huntress montre que les outils désormais exposés pourraient permettre aux chercheurs en sécurité de potentiellement trouver des failles ou des faiblesses dans la mise en œuvre cryptographique. Mais la fuite ne propose pas toutes les clés privées qui pourraient être utilisées pour décrypter les systèmes, a-t-il ajouté.

"En vérité, LockBit a semblé ignorer le problème comme s'il ne s'agissait pas d'un problème", a noté Hammond. "Leurs représentants ont expliqué, en substance, que nous avons licencié le programmeur qui a divulgué cette information et assuré les affiliés et les sympathisants de cette affaire."