בעיה אחת בהפעלת מבצע תוכנת כופר בנוסח עסק רגיל היא שעובדים ממורמרים עשויים לרצות לחבל בפעולה על רקע אי צדק נתפס.
נראה שזה היה המקרה עם מפעילי פעולת LockBit הפורה של תוכנת כופר כשירות השבוע, כאשר מפתח עצבני כנראה פרסם בפומבי את קוד ההצפנה עבור הגרסה העדכנית ביותר של התוכנה הזדונית - LockBit 3.0 aka LockBit Black - ל-GitHub . לפיתוח יש השלכות שליליות ופוטנציאליות חיוביות על מגיני אבטחה.
עונה פתוחה לכולם
הזמינות הציבורית של הקוד פירושה שלמפעילי תוכנות כופר אחרים - ולכאלו הרצויים - יש כעת גישה לבונה עבור ללא ספק אחד מזני תוכנות הכופר המתוחכמים והמסוכנים ביותר כיום בטבע. כתוצאה מכך, גרסאות העתקה חדשות של התוכנה הזדונית עשויות להתחיל להסתובב בקרוב ולהוסיף לנוף איומי הכופר הכאוטי ממילא. במקביל, הקוד שדלף נותן לחוקרי אבטחה עם כובע לבן הזדמנות לפרק את תוכנת הבונה ולהבין טוב יותר את האיום, לדברי ג'ון האמונד, חוקר אבטחה ב-Hunttress Labs.
"הדליפה זו של תוכנת הבונה מתאימה את היכולת להגדיר, להתאים אישית, ובסופו של דבר ליצור את קובצי ההפעלה כדי לא רק להצפין אלא לפענח קבצים", אמר בהצהרה. "כל אחד עם כלי השירות הזה יכול להתחיל פעולת תוכנת כופר מלאה."
במקביל, חוקר אבטחה יכול לנתח את התוכנה ועלול לצבור מידע מודיעיני שעלול לסכל התקפות נוספות, הוא ציין. "לכל הפחות, הדלפה זו מעניקה למגינים תובנה רבה יותר לגבי חלק מהעבודה המתרחשת בתוך קבוצת LockBit", אמר האמונד.
Huntress Labs היא אחת מכמה ספקי אבטחה שניתחו את הקוד שדלף וזיהו אותו כלגיטימי.
איום פורה
LockBit הופיע בשנת 2019 ומאז התגלה כאחד מאיומי תוכנות הכופר הגדולים ביותר הנוכחיים. במחצית הראשונה של 2022, חוקרים מ- Trend Micro זיהה כ-1,843 התקפות מעורבת LockBit, מה שהופך אותה לזן הפורה ביותר של תוכנות הכופר שהחברה נתקלה בה השנה. דיווח מוקדם יותר של צוות מחקר האיומים Unit 42 של Palo Alto Networks תיאר את הגרסה הקודמת של תוכנת הכופר (LockBit 2.0) בתור מהווים 46% מכל אירועי הפרת תוכנות הכופר בחמשת החודשים הראשונים של השנה. האבטחה זיהתה את אתר ההדלפה של LockBit 2.0 כמפרט יותר מ-850 קורבנות נכון לחודש מאי. מאז שחרור של LockBit 3.0 ביוני, יש התקפות הכוללות את משפחת תוכנות הכופר % 17 גדלו, לפי ספקית האבטחה Sectrio.
המפעילים של LockBit הציגו את עצמם כתלבושת מקצועית המתמקדת בעיקר בארגונים במגזר השירותים המקצועיים, הקמעונאות, הייצור והסיטונאות. הקבוצה הצהירה שלא לתקוף גופי בריאות ומוסדות חינוך וצדקה, אם כי חוקרי אבטחה צפו בקבוצות המשתמשות בתוכנת הכופר עושות זאת בכל מקרה.
מוקדם יותר השנה, הקבוצה משכה תשומת לב כשהיא אפילו הכריזה על תוכנית פרס באג מתן פרסים לחוקרי אבטחה שמצאו בעיות בתוכנת הכופר שלה. על פי החשד, הקבוצה שילמה 50,000 דולר בכספי פרס לצייד באגים שדיווח על בעיה בתוכנת ההצפנה שלו.
קוד חוקי
עזים שוקוהי, חוקר ב-Cisco Talos, אומר שהחברה בדקה את הקוד שדלף וכל הסימנים מצביעים על כך שהוא הבונה הלגיטימי של התוכנה. "כמו כן, מדיה חברתית והערות מהמנהל של LockBit מצביעות על כך שהבונה אמיתי. זה מאפשר לך להרכיב או לבנות גרסה אישית של מטען LockBit יחד עם מחולל מפתחות לפענוח", הוא אומר.
עם זאת, Shukuhi קצת מפוקפק לגבי עד כמה הקוד שדלף יועיל למגנים. "רק בגלל שאתה יכול לבצע הנדסה לאחור של הבנאי לא אומר שאתה יכול לעצור את תוכנת הכופר עצמה", הוא אומר. "כמו כן, בנסיבות רבות, עד לפריסת תוכנת הכופר, הרשת נפגעה במלואה."
בעקבות ההדלפה, המחברים של LockBit כנראה גם עובדים קשה בשכתוב של הבונה כדי להבטיח שגרסאות עתידיות לא ייפגעו. הקבוצה כנראה מתמודדת גם עם נזקי המותג מהדליפה. אומר שוקוהי.
האמונד של הצייד אמר ל-Dark Reading כי ההדלפה הייתה "בהחלט "אופס" [רגע] ומבוכה עבור LockBit והאבטחה התפעולית שלהם. אבל כמו שוקוהי, הוא מאמין שהקבוצה פשוט תשנה את הכלים שלה ותמשיך כמו קודם. קבוצות גורמי איומים אחרות עשויות להשתמש בבונה זה לפעולות משלהן, אמר. כל פעילות חדשה סביב הקוד שדלף רק תנציח את האיום הקיים.
האמונד אמר שהניתוח של Huntress של הקוד שדלף מראה שהכלים שנחשפו כעת עשויים לאפשר לחוקרי אבטחה למצוא פגמים או חולשות ביישום ההצפנה. אבל הדליפה לא מציעה את כל המפתחות הפרטיים שניתן להשתמש בהם כדי לפענח מערכות, הוא הוסיף.
"למען האמת, נראה ש- LockBit צחצח את הנושא כאילו זה לא היה חשש," ציין האמונד. "הנציגים שלהם הסבירו, בעצם, פיטרנו את המתכנת שהדליף את זה, והבטחנו לשותפים ולתומכים את העסק הזה".
