Et problem med å drive en løsepengevareoperasjon på linje med en vanlig virksomhet er at misfornøyde ansatte kanskje vil sabotere operasjonen på grunn av en oppfattet urettferdighet.
Det ser ut til å ha vært tilfellet med operatørene av den produktive LockBit løsepenge-som-en-tjeneste-operasjonen denne uken da en tilsynelatende irritert utvikler offentlig la ut krypteringskoden for den nyeste versjonen av skadelig programvare - LockBit 3.0 aka LockBit Black - til GitHub . Utviklingen har både negative og potensielt positive implikasjoner for sikkerhetsforsvarere.
En åpen sesong for alle
Den offentlige tilgjengeligheten av koden betyr at andre ransomware-operatører – og de som ønsker seg – nå har tilgang til byggeren for uten tvil en av de mest sofistikerte og farlige løsepengevare-stammene i naturen. Som et resultat kan nye kopiversjoner av skadelig programvare snart begynne å sirkulere og legge til det allerede kaotiske ransomware-trussellandskapet. Samtidig gir den lekkede koden hvite-hatt-sikkerhetsforskere en sjanse til å ta fra hverandre byggeprogramvaren og bedre forstå trusselen, ifølge John Hammond, sikkerhetsforsker ved Huntress Labs.
"Denne lekkasjen av byggeprogramvaren tilfører muligheten til å konfigurere, tilpasse og til slutt generere kjørbare filer for ikke bare å kryptere, men også dekryptere filer," sa han i en uttalelse. "Alle med dette verktøyet kan starte en fullverdig løsepengevareoperasjon."
Samtidig kan en sikkerhetsforsker analysere programvaren og potensielt skaffe etterretning som kan hindre ytterligere angrep, bemerket han. "Minst gir denne lekkasjen forsvarere større innsikt i noe av arbeidet som foregår i LockBit-gruppen," sa Hammond.
Huntress Labs er en av flere sikkerhetsleverandører som har analysert den lekkede koden og identifisert den som legitim.
Produktiv trussel
LockBit dukket opp i 2019 og har siden dukket opp som en av de største nåværende ransomware-truslene. I første halvdel av 2022 har forskere fra Trend Micro identifiserte rundt 1,843 XNUMX angrep involverer LockBit, noe som gjør det til den mest produktive løsepengevare-stammen selskapet har møtt i år. En tidligere rapport fra Palo Alto Networks 'Unit 42 trusselforskningsteam beskrev den forrige versjonen av løsepengevaren (LockBit 2.0) som står for 46 % av alle hendelser med løsepengevarebrudd i årets fem første måneder. Sikkerheten identifiserte lekkasjestedet for LockBit 2.0 med over 850 ofre per mai. Siden utgivelse av LockBit 3.0 i juni, har angrep som involverer løsepengevarefamilien økt 17%, ifølge sikkerhetsleverandøren Sectrio.
LockBits operatører har fremstilt seg selv som et profesjonelt antrekk fokusert hovedsakelig på organisasjoner innen profesjonelle tjenester, detaljhandel, produksjon og grossistsektorer. Gruppen har erklært å ikke angripe helsetjenester og utdanningsinstitusjoner og veldedige institusjoner, selv om sikkerhetsforskere har observert grupper som bruker løsepengevaren gjør det uansett.
Tidligere i år vakte gruppen oppmerksomhet når den til og med kunngjorde et bug-bounty-program tilbyr belønninger til sikkerhetsforskere som fant problemer med løsepengevare. Gruppen skal ha betalt 50,000 XNUMX dollar i belønning til en feiljeger som rapporterte et problem med krypteringsprogramvaren.
Lovlig kode
Azim Shukuhi, en forsker ved Cisco Talos, sier at selskapet har sett på den lekkede koden, og alt tyder på at det er den legitime byggeren for programvaren. "Sosiale medier og kommentarer fra LockBits administrator indikerer også at byggherren er ekte. Den lar deg sette sammen eller bygge en personlig versjon av LockBit-nyttelasten sammen med en nøkkelgenerator for dekryptering, sier han.
Shukuhi er imidlertid noe tvilsom på hvor mye den lekkede koden vil komme forsvarere til gode. "Bare fordi du kan reversere konstruksjonen, betyr det ikke at du kan stoppe løsepengevaren selv," sier han. "Også, i mange tilfeller, da løsepengevaren er distribuert, har nettverket blitt fullstendig kompromittert."
Etter lekkasjen jobber LockBits forfattere sannsynligvis også hardt med å omskrive byggeren for å sikre at fremtidige versjoner ikke blir kompromittert. Gruppen har sannsynligvis også å gjøre med merkevareskade fra lekkasjen. sier Shukuhi.
Huntress' Hammond fortalte Dark Reading at lekkasjen var "absolutt et 'oops' [øyeblikk] og en forlegenhet for LockBit og deres operasjonelle sikkerhet." Men i likhet med Shukuhi, tror han at gruppen ganske enkelt vil endre verktøyet og fortsette som før. Andre trusselaktørgrupper kan bruke denne byggherren til sine egne operasjoner, sa han. Enhver ny aktivitet rundt den lekkede koden kommer bare til å opprettholde den eksisterende trusselen.
Hammond sa at Huntress' analyse av den lekkede koden viser at de nå eksponerte verktøyene kan gjøre det mulig for sikkerhetsforskere å finne feil eller svakheter i den kryptografiske implementeringen. Men lekkasjen tilbyr ikke alle private nøkler som kan brukes til å dekryptere systemer, la han til.
"Sannlig, LockBit så ut til å børste av problemet som om det ikke var noen bekymring," bemerket Hammond. "Representantene deres forklarte i hovedsak at vi har sparket programmereren som lekket dette, og forsikret tilknyttede selskaper og støttespillere om den virksomheten."
