Ett problem med att driva en ransomware-operation i linje med ett vanligt företag är att missnöjda anställda kanske vill sabotera verksamheten på grund av en upplevd orättvisa.
Det verkar ha varit fallet med operatörerna av den produktiva LockBit ransomware-as-a-service-operationen den här veckan när en uppenbarligen irriterad utvecklare offentligt släppte krypteringskoden för den senaste versionen av skadlig programvara - LockBit 3.0 aka LockBit Black - till GitHub . Utvecklingen har både negativa och potentiellt positiva konsekvenser för säkerhetsförsvarare.
En öppen säsong för alla
Den offentliga tillgängligheten av koden innebär att andra ransomware-operatörer - och wannabe-operatörer - nu har tillgång till byggaren för utan tvekan en av de mest sofistikerade och farliga ransomware-stammarna för närvarande i naturen. Som ett resultat kan nya copycat-versioner av skadlig programvara snart börja cirkulera och lägga till det redan kaotiska ransomware-hotlandskapet. Samtidigt ger den läckta koden white-hat-säkerhetsforskare en chans att ta isär byggprogramvaran och bättre förstå hotet, enligt John Hammond, säkerhetsforskare på Huntress Labs.
"Denna läcka av byggprogramvaran commoditiserar förmågan att konfigurera, anpassa och i slutändan generera körbara filer för att inte bara kryptera utan dekryptera filer," sade han i ett uttalande. "Vem som helst med det här verktyget kan starta en fullfjädrad ransomware-operation."
Samtidigt kan en säkerhetsforskare analysera programvaran och potentiellt skaffa intelligens som kan motverka ytterligare attacker, noterade han. "Åtminstone ger denna läcka försvarare större insikt i en del av arbetet som pågår inom LockBit-gruppen," sa Hammond.
Huntress Labs är en av flera säkerhetsleverantörer som har analyserat den läckta koden och identifierat den som legitim.
Produktivt hot
LockBit dök upp 2019 och har sedan dess framstått som ett av de största aktuella ransomware-hoten. Under första halvåret 2022, forskare från Trend Micro identifierade cirka 1,843 XNUMX attacker involverar LockBit, vilket gör det till den mest produktiva ransomware-stam som företaget har stött på i år. En tidigare rapport från Palo Alto Networks Unit 42 hot research team beskrev den tidigare versionen av ransomware (LockBit 2.0) som står för 46 % av alla ransomware-intrångshändelser under årets första fem månader. Säkerheten identifierade läckageplatsen för LockBit 2.0 som listade över 850 offer i maj. Sedan release av LockBit 3.0 i juni, attacker som involverar ransomware-familjen har ökat 17%, enligt säkerhetsleverantören Sectrio.
LockBits operatörer har framställt sig själva som en professionell outfit fokuserad främst på organisationer inom den professionella tjänstesektorn, detaljhandeln, tillverkningen och grossistsektorerna. Gruppen har lovat att inte attackera sjukvårdsenheter och utbildnings- och välgörenhetsinstitutioner, även om säkerhetsforskare har observerat grupper som använder ransomware gör det ändå.
Tidigare i år väckte gruppen uppmärksamhet när den ens tillkännagav ett bug-bounty-program erbjuder belöningar till säkerhetsforskare som hittade problem med dess ransomware. Gruppen ska ha betalat 50,000 XNUMX dollar i belöningspengar till en buggjägare som rapporterade ett problem med dess krypteringsmjukvara.
Laglig kod
Azim Shukuhi, en forskare med Cisco Talos, säger att företaget har tittat på den läckta koden och allt tyder på att det är den legitima byggaren för programvaran. "Dessutom indikerar sociala medier och kommentarer från LockBits admin själva att byggaren är verklig. Det låter dig sätta ihop eller bygga en personlig version av LockBit nyttolasten tillsammans med en nyckelgenerator för dekryptering, säger han.
Shukuhi är dock något tveksam till hur mycket den läckta koden kommer att gynna försvarare. "Bara för att du kan omvända byggaren betyder det inte att du kan stoppa själva ransomwaren", säger han. "Också, under många omständigheter, när ransomwaren distribueras, har nätverket blivit helt äventyrat."
Efter läckan arbetar LockBits författare sannolikt också hårt på att skriva om byggaren för att säkerställa att framtida versioner inte äventyras. Gruppen kommer sannolikt också att hantera varumärkesskador från läckan. säger Shukuhi.
Huntress Hammond berättade för Dark Reading att läckan "visst var ett 'oops' [ögonblick] och pinsamt för LockBit och deras operativa säkerhet." Men precis som Shukuhi tror han att gruppen helt enkelt kommer att ändra sina verktyg och fortsätta som tidigare. Andra hotaktörsgrupper kan använda denna byggare för sin egen verksamhet, sa han. All ny aktivitet kring den läckta koden kommer bara att vidmakthålla det befintliga hotet.
Hammond sa att Huntresss analys av den läckta koden visar att de nu exponerade verktygen kan göra det möjligt för säkerhetsforskare att potentiellt hitta brister eller svagheter i den kryptografiska implementeringen. Men läckan erbjuder inte alla privata nycklar som kan användas för att dekryptera system, tillade han.
"Senligt, LockBit verkade borsta bort problemet som om det inte var något problem," noterade Hammond. "Deras representanter förklarade i huvudsak att vi har sparkat programmeraren som läckte detta, och försäkrat dotterbolag och supportrar den verksamheten."
