일반 비즈니스와 함께 랜섬웨어 작업을 실행할 때 발생하는 한 가지 문제는 불만을 품은 직원이 인지된 불의로 인해 작업을 방해하려고 할 수 있다는 것입니다.
이번 주에 서비스형 랜섬웨어(ransomware-as-a-service) 작업을 많이 수행한 운영자의 경우에도 마찬가지였습니다. 한 개발자가 최신 버전의 악성 코드인 LockBit 3.0(일명 LockBit Black)에 대한 암호화 코드를 GitHub에 공개적으로 공개했습니다. . 이번 개발은 보안 방어자에게 부정적인 영향과 잠재적으로 긍정적인 영향을 모두 미칩니다.
모두를 위한 열린 시즌
코드가 공개적으로 사용 가능하다는 것은 다른 랜섬웨어 운영자와 지망생이 이제 현재 가장 정교하고 위험한 랜섬웨어 변종 중 하나에 대한 빌더에 액세스할 수 있음을 의미합니다. 결과적으로 악성 코드의 새로운 모방 버전이 곧 유포되기 시작하여 이미 혼란스러운 랜섬웨어 위협 환경에 추가될 수 있습니다. 동시에, Huntress Labs의 보안 연구원인 John Hammond에 따르면, 유출된 코드는 화이트 해커 보안 연구원들에게 빌더 소프트웨어를 분해하고 위협을 더 잘 이해할 수 있는 기회를 제공한다고 합니다.
그는 성명에서 "이번 빌더 소프트웨어 유출로 인해 파일을 암호화할 뿐만 아니라 해독할 수 있는 실행 파일을 구성, 사용자 정의 및 생성하는 기능이 상품화되었습니다."라고 말했습니다. "이 유틸리티가 있는 사람은 누구나 본격적인 랜섬웨어 작업을 시작할 수 있습니다."
동시에 보안 연구원은 소프트웨어를 분석하고 잠재적으로 추가 공격을 막을 수 있는 인텔리전스를 얻을 수 있다고 그는 지적했습니다. Hammond는 “적어도 이번 유출은 방어자들에게 LockBit 그룹 내에서 진행되는 일부 작업에 대한 더 큰 통찰력을 제공합니다.”라고 말했습니다.
Huntress Labs는 유출된 코드를 분석하고 합법적인 것으로 식별한 여러 보안 공급업체 중 하나입니다.
대량의 위협
LockBit은 2019년에 등장한 이후 현재 가장 큰 랜섬웨어 위협 중 하나로 부상했습니다. 2022년 상반기 트렌드마이크로 연구진은 약 1,843건의 공격을 식별했습니다. LockBit이 포함되어 회사가 올해 직면한 가장 많은 랜섬웨어 변종이 되었습니다. Palo Alto Networks의 Unit 42 위협 연구팀의 이전 보고서에서는 이전 버전의 랜섬웨어(LockBit 2.0)를 다음과 같이 설명했습니다. 전체 랜섬웨어 침해 사건의 46%를 차지 올해 첫 2.0개월 동안. 보안팀은 LockBit 850의 유출 사이트에서 XNUMX월 현재 XNUMX명 이상의 피해자가 등록된 것으로 확인했습니다. 이후 3.0월 LockBit XNUMX 출시, 랜섬웨어 계열과 관련된 공격은 증가 된 17 %, 보안 공급업체인 Sectrio에 따르면.
LockBit의 운영자는 전문 서비스 부문, 소매, 제조 및 도매 부문의 조직에 주로 초점을 맞춘 전문 조직으로 스스로를 묘사해 왔습니다. 이 그룹은 의료 기관, 교육 및 자선 기관을 공격하지 않겠다고 약속했지만 보안 연구원들은 랜섬웨어를 사용하는 그룹이 어쨌든 공격하는 것을 관찰했습니다.
올해 초 이 그룹은 주목을 받기도 했다. 버그 바운티 프로그램을 발표했습니다 랜섬웨어의 문제점을 발견한 보안 연구원에게 보상을 제공합니다. 단체에서 돈을 냈다고 하네요 보상금 $50,000 암호화 소프트웨어 문제를 보고한 버그 사냥꾼에게.
합법적인 코드
Cisco Talos의 연구원인 Azim Shukuhi는 회사가 유출된 코드를 살펴본 결과 모든 징후에 따르면 이 회사가 소프트웨어의 합법적인 개발자라는 것이 밝혀졌습니다. “또한 소셜 미디어와 LockBit 관리자의 댓글 자체도 제작자가 실제임을 나타냅니다. 이를 통해 암호 해독을 위한 키 생성기와 함께 LockBit 페이로드의 개인 버전을 조립하거나 구축할 수 있습니다.”라고 그는 말합니다.
그러나 Shukuhi는 유출된 코드가 방어자에게 얼마나 도움이 될지에 대해 다소 회의적입니다. “빌더를 리버스 엔지니어링할 수 있다고 해서 랜섬웨어 자체를 막을 수 있다는 의미는 아닙니다.”라고 그는 말합니다. “또한 많은 상황에서 랜섬웨어가 배포될 때쯤에는 네트워크가 완전히 손상되었습니다.”
유출 이후 LockBit 작성자는 향후 버전이 손상되지 않도록 빌더를 다시 작성하는 데 열심히 노력할 가능성이 높습니다. 그룹은 유출로 인한 브랜드 손상도 처리할 것으로 보인다. 슈쿠히는 말한다.
Huntress' Hammond는 Dark Reading과의 인터뷰에서 유출이 "분명히 '죄송합니다' [순간]이었고 LockBit과 운영 보안에 당황스러운 일이었습니다."라고 말했습니다. 그러나 Shukuhi와 마찬가지로 그는 그룹이 단순히 도구만 변경하고 이전처럼 계속될 것이라고 믿습니다. 그는 다른 위협 행위자 그룹이 이 빌더를 자체 작업에 사용할 수도 있다고 말했습니다. 유출된 코드와 관련된 새로운 활동은 기존 위협을 지속시킬 뿐입니다.
Hammond는 유출된 코드에 대한 Huntress의 분석을 통해 현재 노출된 도구를 통해 보안 연구원이 암호화 구현에서 잠재적인 결함이나 약점을 찾을 수 있다는 것을 알 수 있다고 말했습니다. 그러나 이번 유출로 인해 시스템 암호를 해독하는 데 사용할 수 있는 모든 개인 키가 제공되는 것은 아니라고 그는 덧붙였습니다.
Hammond는 “솔직히 LockBit은 문제가 없는 것처럼 이 문제를 무시하는 것처럼 보였습니다.”라고 말했습니다. "그들의 대표자들은 본질적으로 우리가 이것을 유출한 프로그래머를 해고했다고 설명했고 계열사들과 지지자들에게 그 사업을 보장했습니다."
