डेवलपर लीक लॉकबिट 3.0 रैंसमवेयर-बिल्डर कोड

एक नियमित व्यवसाय की तर्ज पर रैंसमवेयर ऑपरेशन चलाने में एक समस्या यह है कि असंतुष्ट कर्मचारी कुछ कथित अन्याय के कारण ऑपरेशन में तोड़फोड़ करना चाह सकते हैं।

ऐसा प्रतीत होता है कि इस सप्ताह विपुल लॉकबिट रैनसमवेयर-ए-ए-सर्विस ऑपरेशन के ऑपरेटरों के मामले में ऐसा हुआ है, जब एक स्पष्ट रूप से नाराज डेवलपर ने सार्वजनिक रूप से मैलवेयर के नवीनतम संस्करण - लॉकबिट 3.0 उर्फ ​​लॉकबिट ब्लैक - के लिए GitHub को एन्क्रिप्टर कोड जारी किया। . सुरक्षा रक्षकों के लिए विकास के नकारात्मक और संभावित रूप से सकारात्मक दोनों प्रभाव हैं।

सभी के लिए एक खुला मौसम

कोड की सार्वजनिक उपलब्धता का मतलब है कि अन्य रैंसमवेयर ऑपरेटरों - और इच्छुक लोगों - के पास अब संभवतः सबसे परिष्कृत और खतरनाक रैंसमवेयर उपभेदों में से एक के लिए बिल्डर तक पहुंच है। परिणामस्वरूप, मैलवेयर के नए नकलची संस्करण जल्द ही प्रसारित होना शुरू हो सकते हैं और पहले से ही अराजक रैंसमवेयर खतरे के परिदृश्य में जुड़ सकते हैं। साथ ही, हंट्रेस लैब्स के सुरक्षा शोधकर्ता जॉन हैमंड के अनुसार, लीक हुआ कोड व्हाइट-हैट सुरक्षा शोधकर्ताओं को बिल्डर सॉफ़्टवेयर को अलग करने और खतरे को बेहतर ढंग से समझने का मौका देता है।

उन्होंने एक बयान में कहा, "बिल्डर सॉफ़्टवेयर का यह लीक फ़ाइलों को न केवल एन्क्रिप्ट करने, बल्कि डिक्रिप्ट करने के लिए कॉन्फ़िगर करने, अनुकूलित करने और अंततः निष्पादन योग्य उत्पन्न करने की क्षमता को कमोडिटाइज़ करता है।" "इस उपयोगिता वाला कोई भी व्यक्ति पूर्ण रैंसमवेयर ऑपरेशन शुरू कर सकता है।" 

उन्होंने कहा कि उसी समय, एक सुरक्षा शोधकर्ता सॉफ्टवेयर का विश्लेषण कर सकता है और संभावित रूप से खुफिया जानकारी जुटा सकता है जो आगे के हमलों को विफल कर सकता है। हैमंड ने कहा, "कम से कम, यह लीक रक्षकों को लॉकबिट समूह के भीतर होने वाले कुछ कार्यों के बारे में अधिक जानकारी देता है।" 

हंट्रेस लैब्स कई सुरक्षा विक्रेताओं में से एक है जिसने लीक हुए कोड का विश्लेषण किया है और इसे वैध माना है।

विपुल ख़तरा

लॉकबिट 2019 में सामने आया और तब से यह सबसे बड़े मौजूदा रैंसमवेयर खतरों में से एक के रूप में उभरा है। 2022 की पहली छमाही में, ट्रेंड माइक्रो के शोधकर्ता लगभग 1,843 हमलों की पहचान की गई लॉकबिट को शामिल करते हुए, यह इस वर्ष कंपनी द्वारा सामना किया गया सबसे विपुल रैनसमवेयर स्ट्रेन बन गया है। पालो ऑल्टो नेटवर्क्स की यूनिट 42 खतरा अनुसंधान टीम की एक पूर्व रिपोर्ट में रैंसमवेयर के पिछले संस्करण (लॉकबिट 2.0) का वर्णन इस प्रकार किया गया था: सभी रैंसमवेयर उल्लंघन घटनाओं में से 46% के लिए जिम्मेदार साल के पहले पांच महीनों में. सुरक्षा ने मई तक 2.0 से अधिक पीड़ितों की सूची के रूप में लॉकबिट 850 के लिए लीक साइट की पहचान की। के बाद से जून में लॉकबिट 3.0 की रिलीज़, रैंसमवेयर परिवार से जुड़े हमले हुए हैं वृद्धि हुई 17%, सुरक्षा विक्रेता सेक्ट्रियो के अनुसार।

लॉकबिट के ऑपरेटरों ने खुद को एक पेशेवर संगठन के रूप में चित्रित किया है जो मुख्य रूप से पेशेवर सेवा क्षेत्र, खुदरा, विनिर्माण और थोक क्षेत्रों के संगठनों पर केंद्रित है। समूह ने स्वास्थ्य देखभाल संस्थाओं और शैक्षणिक और धर्मार्थ संस्थानों पर हमला नहीं करने की कसम खाई है, हालांकि सुरक्षा शोधकर्ताओं ने देखा है कि रैंसमवेयर का उपयोग करने वाले समूह वैसे भी ऐसा करते हैं। 

इस साल की शुरुआत में, समूह ने उस समय भी ध्यान आकर्षित किया जब यह भी हुआ बग बाउंटी प्रोग्राम की घोषणा की इसके रैंसमवेयर में समस्याएँ खोजने वाले सुरक्षा शोधकर्ताओं को पुरस्कार की पेशकश। आरोप है कि समूह ने भुगतान किया है इनाम राशि में $50,000 एक बग शिकारी को जिसने इसके एन्क्रिप्शन सॉफ़्टवेयर के साथ एक समस्या की सूचना दी थी।

वैध कोड

सिस्को टैलोस के एक शोधकर्ता अजीम शुकुही का कहना है कि कंपनी ने लीक हुए कोड को देखा है और सभी संकेत हैं कि यह सॉफ्टवेयर के लिए वैध बिल्डर है। “इसके अलावा, सोशल मीडिया और लॉकबिट के एडमिन की टिप्पणियाँ स्वयं संकेत देती हैं कि बिल्डर असली है। यह आपको डिक्रिप्शन के लिए एक कुंजी जनरेटर के साथ लॉकबिट पेलोड के व्यक्तिगत संस्करण को इकट्ठा करने या बनाने की अनुमति देता है, ”वह कहते हैं।

हालाँकि, शुकुही इस बात को लेकर कुछ हद तक संदिग्ध है कि लीक हुए कोड से रक्षकों को कितना फायदा होगा। "सिर्फ इसलिए कि आप बिल्डर को रिवर्स-इंजीनियर कर सकते हैं इसका मतलब यह नहीं है कि आप रैंसमवेयर को ही रोक सकते हैं," वे कहते हैं। "इसके अलावा, कई परिस्थितियों में, जब तक रैंसमवेयर तैनात किया जाता है, तब तक नेटवर्क पूरी तरह से समझौता हो चुका होता है।"

लीक के बाद, लॉकबिट के लेखक भी बिल्डर को फिर से लिखने में कड़ी मेहनत कर रहे हैं ताकि यह सुनिश्चित किया जा सके कि भविष्य के संस्करणों से समझौता नहीं किया जाएगा। समूह संभवतः लीक से ब्रांड क्षति से भी निपट रहा है। शुकुही कहते हैं.

हंट्रेस हैमंड ने डार्क रीडिंग को बताया कि लीक "निश्चित रूप से एक 'उफ़' [क्षण] था और लॉकबिट और उनकी परिचालन सुरक्षा के लिए शर्मिंदगी थी।" लेकिन शुकुही की तरह, उनका मानना ​​है कि समूह बस अपनी टूलींग बदल देगा और पहले की तरह जारी रहेगा। उन्होंने कहा कि अन्य खतरा पैदा करने वाले समूह इस बिल्डर का इस्तेमाल अपने संचालन के लिए कर सकते हैं। लीक हुए कोड के आसपास कोई भी नई गतिविधि मौजूदा खतरे को कायम रखेगी।

हैमंड ने कहा कि हंट्रेस के लीक हुए कोड के विश्लेषण से पता चलता है कि अब उजागर हुए उपकरण सुरक्षा शोधकर्ताओं को क्रिप्टोग्राफ़िक कार्यान्वयन में संभावित रूप से खामियां या कमजोरियां ढूंढने में सक्षम कर सकते हैं। उन्होंने कहा, लेकिन लीक उन सभी निजी कुंजियों की पेशकश नहीं करता है जिनका उपयोग सिस्टम को डिक्रिप्ट करने के लिए किया जा सकता है।

हैमंड ने कहा, "सच कहूं तो, लॉकबिट ने इस मुद्दे को ऐसे टाल दिया जैसे कि यह कोई चिंता की बात ही न हो।" "उनके प्रतिनिधियों ने समझाया, संक्षेप में, हमने उस प्रोग्रामर को निकाल दिया है जिसने इसे लीक किया था, और सहयोगियों और समर्थकों को आश्वासन दिया था कि यह व्यवसाय होगा।"