Разработчик раскрывает код LockBit 3.0 Ransomware-Builder

Одна из проблем, связанных с запуском программы-вымогателя в рамках обычного бизнеса, заключается в том, что недовольные сотрудники могут захотеть саботировать операцию из-за какой-то кажущейся несправедливости.

Судя по всему, именно так обстояло дело с операторами широкомасштабной операции LockBit по программе-вымогателю как услуге на этой неделе, когда явно раздраженный разработчик публично опубликовал код шифровальщика последней версии вредоносного ПО — LockBit 3.0, также известного как LockBit Black, — на GitHub. . Развитие имеет как негативные, так и потенциально позитивные последствия для защитников безопасности.

Открытый сезон для всех

Публичный доступ к коду означает, что другие операторы программ-вымогателей — и желающие — теперь имеют доступ к сборщику, возможно, одного из самых сложных и опасных штаммов программ-вымогателей, существующих в настоящее время. В результате вскоре могут начать распространяться новые подражательные версии вредоносного ПО, которые пополнят и без того хаотичную картину угроз программ-вымогателей. В то же время, по словам Джона Хаммонда, исследователя безопасности в Huntress Labs, утечка кода дает исследователям безопасности в белых шляпах возможность разобрать программное обеспечение для сборки и лучше понять угрозу.

«Эта утечка программного обеспечения для сборки превращает в товар возможность конфигурировать, настраивать и, в конечном итоге, создавать исполняемые файлы для не только шифрования, но и расшифровки файлов», — сказал он в своем заявлении. «Любой, у кого есть эта утилита, может начать полноценную операцию по вымогательству». 

В то же время исследователь безопасности может проанализировать программное обеспечение и потенциально собрать информацию, которая может предотвратить дальнейшие атаки, отметил он. «Как минимум, эта утечка дает защитникам лучшее представление о некоторых работах, которые ведутся внутри группы LockBit», — сказал Хаммонд. 

Huntress Labs — один из нескольких поставщиков систем безопасности, проанализировавших утечку кода и идентифицировавших его как законный.

Продуктивная угроза

LockBit появился в 2019 году и с тех пор стал одной из самых больших современных угроз программ-вымогателей. В первой половине 2022 года исследователи Trend Micro выявлено около 1,843 атак с участием LockBit, что делает его самым массовым штаммом программы-вымогателя, с которым компания столкнулась в этом году. В более раннем отчете группы исследования угроз Unit 42 компании Palo Alto Networks предыдущая версия программы-вымогателя (LockBit 2.0) описывалась как приходится 46% всех случаев взлома программ-вымогателей в первые пять месяцев года. Служба безопасности определила место утечки LockBit 2.0, на котором по состоянию на май было указано более 850 жертв. Поскольку выпуск LockBit 3.0 в июне, атаки с участием семейства программ-вымогателей увеличилась 17%, по словам поставщика систем безопасности Sectrio.

Операторы LockBit позиционируют себя как профессиональная организация, ориентированная в основном на организации в секторе профессиональных услуг, розничной торговле, производстве и оптовой торговле. Группа заявила, что не атакует медицинские учреждения, образовательные и благотворительные учреждения, хотя исследователи безопасности заметили, что группы, использующие программу-вымогатель, все равно это делают. 

Ранее в этом году группа привлекла к себе внимание, когда даже объявили о программе Bug Bounty предлагая вознаграждение исследователям безопасности, обнаружившим проблемы с программой-вымогателем. Предполагается, что группа заплатила 50,000 XNUMX долларов в качестве вознаграждения охотнику за ошибками, который сообщил о проблеме с его программным обеспечением для шифрования.

Законный код

Азим Шукухи, исследователь Cisco Talos, говорит, что компания изучила утекший код и все указывает на то, что она является законным разработчиком программного обеспечения. «Кроме того, социальные сети и комментарии самого администратора LockBit указывают на то, что застройщик реальный. Он позволяет вам собрать или создать персональную версию полезной нагрузки LockBit вместе с генератором ключей для дешифрования», — говорит он.

Однако Шукухи несколько сомневается в том, какую пользу защитникам принесет утечка кода. «То, что вы можете перепроектировать сборщик, не означает, что вы можете остановить саму программу-вымогатель», — говорит он. «Кроме того, во многих случаях к моменту внедрения программы-вымогателя сеть уже полностью скомпрометирована».

После утечки авторы LockBit, вероятно, также усердно работают над переписыванием компоновщика, чтобы гарантировать, что будущие версии не будут скомпрометированы. Группа также, вероятно, занимается устранением ущерба бренду в результате утечки. — говорит Шукухи.

Хаммонд из Huntress рассказал Dark Reading, что утечка «определенно стала «упс» [моментом] и позором для LockBit и их операционной безопасности». Но, как и Шукухи, он считает, что группа просто изменит свой инструментарий и продолжит работу в прежнем режиме. По его словам, другие группы субъектов угроз могут использовать этот конструктор для своих операций. Любая новая активность вокруг утекшего кода лишь увековечит существующую угрозу.

Хаммонд сказал, что анализ утекшего кода, проведенный Huntress, показывает, что раскрытые теперь инструменты могут позволить исследователям безопасности потенциально найти недостатки или слабые места в криптографической реализации. Однако утечка не содержит всех закрытых ключей, которые можно использовать для расшифровки систем, добавил он.

«По правде говоря, LockBit, похоже, отмахнулся от этой проблемы, как будто она не вызывала беспокойства», — отметил Хаммонд. «Их представители объяснили, что, по сути, мы уволили программиста, который это слил, и заверили филиалов и сторонников, что дело в этом».