ปัญหาประการหนึ่งในการดำเนินปฏิบัติการแรนซัมแวร์ตามแนวธุรกิจปกติก็คือ พนักงานที่ไม่พอใจอาจต้องการทำลายการดำเนินการดังกล่าวด้วยการรับรู้ถึงความอยุติธรรมบางประการ
ดูเหมือนว่าจะเป็นเช่นนั้นกับผู้ให้บริการปฏิบัติการ LockBit ransomware-as-a-service ที่อุดมสมบูรณ์ในสัปดาห์นี้ เมื่อนักพัฒนาที่เห็นได้ชัดว่าไม่พอใจเปิดเผยรหัสตัวเข้ารหัสสำหรับมัลแวร์เวอร์ชันล่าสุด — LockBit 3.0 หรือที่รู้จักในชื่อ LockBit Black — ไปยัง GitHub . การพัฒนานี้มีผลกระทบทั้งด้านลบและด้านบวกต่อนักปกป้องความปลอดภัย
ฤดูกาลเปิดสำหรับทุกคน
ความพร้อมใช้งานของรหัสสาธารณะหมายความว่าผู้ดำเนินการแรนซัมแวร์รายอื่น ๆ และผู้ที่อยากเป็นสามารถเข้าถึงผู้สร้างแรนซัมแวร์สายพันธุ์ที่ซับซ้อนและอันตรายที่สุดสายพันธุ์หนึ่งที่มีอยู่ในระบบในปัจจุบัน เป็นผลให้มัลแวร์เวอร์ชันลอกเลียนแบบใหม่เริ่มแพร่กระจายและเพิ่มภัยคุกคามแรนซัมแวร์ที่วุ่นวายอยู่แล้วในไม่ช้า ในขณะเดียวกัน รหัสที่รั่วไหลออกมาทำให้นักวิจัยด้านความปลอดภัยหมวกขาวมีโอกาสแยกซอฟต์แวร์สำหรับสร้างออกและเข้าใจภัยคุกคามได้ดีขึ้น ตามที่ John Hammond นักวิจัยด้านความปลอดภัยของ Huntress Labs กล่าว
“การรั่วไหลของซอฟต์แวร์ตัวสร้างนี้ทำให้ความสามารถในการกำหนดค่า ปรับแต่ง และสร้างไฟล์ปฏิบัติการไม่เพียงแต่เข้ารหัสเท่านั้น แต่ยังถอดรหัสไฟล์อีกด้วย” เขากล่าวในแถลงการณ์ “ใครก็ตามที่มียูทิลิตี้นี้สามารถเริ่มการทำงานของแรนซัมแวร์เต็มรูปแบบได้”
ในเวลาเดียวกัน นักวิจัยด้านความปลอดภัยสามารถวิเคราะห์ซอฟต์แวร์และอาจรวบรวมข้อมูลอัจฉริยะที่สามารถขัดขวางการโจมตีเพิ่มเติมได้ เขากล่าว “อย่างน้อยที่สุด การรั่วไหลนี้ทำให้ผู้พิทักษ์มีความเข้าใจมากขึ้นเกี่ยวกับงานบางอย่างที่เกิดขึ้นภายในกลุ่ม LockBit” แฮมมอนด์กล่าว
Huntress Labs เป็นหนึ่งในผู้จำหน่ายระบบรักษาความปลอดภัยหลายรายที่ได้วิเคราะห์โค้ดที่รั่วไหลออกมาและระบุว่าโค้ดนั้นถูกต้องตามกฎหมาย
ภัยคุกคามที่อุดมสมบูรณ์
LockBit ปรากฏขึ้นในปี 2019 และนับตั้งแต่นั้นมาก็กลายเป็นหนึ่งในภัยคุกคามแรนซัมแวร์ที่ใหญ่ที่สุดในปัจจุบัน ในช่วงครึ่งแรกของปี 2022 นักวิจัยจาก Trend Micro ระบุการโจมตีได้ประมาณ 1,843 ครั้ง ที่เกี่ยวข้องกับ LockBit ทำให้เป็นแรนซัมแวร์สายพันธุ์ที่อุดมสมบูรณ์ที่สุดที่บริษัทเคยเผชิญในปีนี้ รายงานก่อนหน้านี้จากทีมวิจัยภัยคุกคามยูนิต 42 ของ Palo Alto Networks อธิบายเวอร์ชันก่อนหน้าของแรนซัมแวร์ (LockBit 2.0) ว่า คิดเป็น 46% ของเหตุการณ์การละเมิดแรนซัมแวร์ทั้งหมด ในช่วงห้าเดือนแรกของปี การรักษาความปลอดภัยระบุไซต์ที่รั่วไหลของ LockBit 2.0 โดยมีรายชื่อเหยื่อมากกว่า 850 ราย ณ เดือนพฤษภาคม ตั้งแต่วันที่ เปิดตัว LockBit 3.0 ในเดือนมิถุนายนการโจมตีที่เกี่ยวข้องกับตระกูลแรนซัมแวร์มี % 17 เพิ่มขึ้นตามที่ผู้จำหน่ายระบบรักษาความปลอดภัย Sectrio กล่าว
ผู้ปฏิบัติงานของ LockBit แสดงตนว่าเป็นเครื่องแต่งกายระดับมืออาชีพที่เน้นไปที่องค์กรในภาคบริการระดับมืออาชีพ การค้าปลีก การผลิต และการขายส่งเป็นหลัก กลุ่มนี้สัญญาว่าจะไม่โจมตีหน่วยงานด้านการดูแลสุขภาพและสถาบันการศึกษาและการกุศล แม้ว่านักวิจัยด้านความปลอดภัยจะสังเกตเห็นว่ากลุ่มที่ใช้แรนซัมแวร์ทำเช่นนั้นก็ตาม
เมื่อต้นปีที่ผ่านมา กลุ่มนี้ได้รับความสนใจแม้กระทั่ง ประกาศโปรแกรมรางวัลจุดบกพร่อง เสนอรางวัลให้กับนักวิจัยด้านความปลอดภัยที่พบปัญหากับแรนซัมแวร์ กลุ่มนี้ถูกกล่าวหาว่าได้จ่ายเงินแล้ว เงินรางวัล $50,000 ถึงนักล่าบั๊กที่รายงานปัญหาเกี่ยวกับซอฟต์แวร์เข้ารหัส
รหัสที่ถูกต้อง
Azim Shukuhi นักวิจัยจาก Cisco Talos กล่าวว่าบริษัทได้ตรวจสอบโค้ดที่รั่วไหลออกมาแล้ว และมีข้อบ่งชี้ทั้งหมดว่าเป็นผู้สร้างซอฟต์แวร์ที่ถูกต้องตามกฎหมาย “นอกจากนี้ โซเชียลมีเดียและความคิดเห็นจากผู้ดูแลระบบของ LockBit เองก็บ่งชี้ว่าผู้สร้างนั้นมีอยู่จริง ช่วยให้คุณสามารถประกอบหรือสร้างเพย์โหลด LockBit เวอร์ชันส่วนตัวพร้อมกับตัวสร้างคีย์สำหรับการถอดรหัส” เขากล่าว
อย่างไรก็ตาม Shukuhi ค่อนข้างสงสัยว่าโค้ดที่รั่วไหลออกมาจะเป็นประโยชน์ต่อกองหลังมากน้อยเพียงใด “เพียงเพราะคุณสามารถวิศวกรรมย้อนกลับให้กับผู้สร้างไม่ได้หมายความว่าคุณสามารถหยุดแรนซัมแวร์ได้” เขากล่าว “นอกจากนี้ ในหลาย ๆ สถานการณ์ เมื่อถึงเวลาที่มีการติดตั้งแรนซัมแวร์ เครือข่ายก็ถูกโจมตีอย่างสมบูรณ์”
หลังจากการรั่วไหล ผู้เขียนของ LockBit ก็มีแนวโน้มที่จะทำงานอย่างหนักในการเขียนตัวสร้างใหม่เพื่อให้แน่ใจว่าเวอร์ชันในอนาคตจะไม่ถูกบุกรุก กลุ่มนี้ยังมีแนวโน้มที่จะจัดการกับความเสียหายของแบรนด์จากการรั่วไหล ชูคุฮิกล่าว
Hammond ของ Huntress บอกกับ Dark Reading ว่าการรั่วไหลดังกล่าว “เป็น 'โอ๊ะโอ' [ช่วงเวลา] อย่างแน่นอน และความลำบากใจสำหรับ LockBit และความปลอดภัยในการปฏิบัติงานของพวกเขา” แต่เช่นเดียวกับ Shukuhi เขาเชื่อว่ากลุ่มจะเปลี่ยนเครื่องมือและดำเนินต่อไปเหมือนเมื่อก่อน กลุ่มผู้แสดงภัยคุกคามอื่นๆ อาจใช้ตัวสร้างนี้เพื่อการดำเนินงานของตนเอง เขากล่าว กิจกรรมใหม่ใดๆ เกี่ยวกับโค้ดที่รั่วไหลออกไปเป็นเพียงการสานต่อภัยคุกคามที่มีอยู่
Hammond กล่าวว่าการวิเคราะห์โค้ดที่รั่วไหลของ Huntress แสดงให้เห็นว่าเครื่องมือที่ถูกเปิดเผยในขณะนี้อาจทำให้นักวิจัยด้านความปลอดภัยสามารถค้นหาข้อบกพร่องหรือจุดอ่อนในการใช้งานการเข้ารหัสได้ แต่การรั่วไหลไม่ได้นำเสนอคีย์ส่วนตัวทั้งหมดที่สามารถใช้เพื่อถอดรหัสระบบได้ เขากล่าวเสริม
“ตามความเป็นจริงแล้ว LockBit ดูเหมือนจะปัดเป่าปัญหาราวกับว่าไม่มีปัญหาใดๆ เลย” แฮมมอนด์กล่าว “ตัวแทนของพวกเขาอธิบายโดยพื้นฐานแล้ว เราได้ไล่โปรแกรมเมอร์ที่รั่วไหลสิ่งนี้ และรับประกันกับบริษัทในเครือและผู้สนับสนุนธุรกิจนั้น”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
