Một vấn đề khi thực hiện hoạt động ransomware theo hướng kinh doanh thông thường là những nhân viên bất mãn có thể muốn phá hoại hoạt động vì một số bất công được cho là.
Điều đó dường như đã xảy ra với những người điều hành hoạt động dịch vụ ransomware LockBit phổ biến trong tuần này khi một nhà phát triển có vẻ khó chịu đã công khai mã mã hóa cho phiên bản mới nhất của phần mềm độc hại – LockBit 3.0 hay còn gọi là LockBit Black – tới GitHub . Sự phát triển này có cả tác động tiêu cực và tiềm ẩn tích cực đối với những người bảo vệ an ninh.
Một mùa mở cho tất cả
Mã được cung cấp công khai có nghĩa là các nhà khai thác ransomware khác — và những kẻ muốn trở thành — hiện có quyền truy cập vào trình tạo được cho là một trong những chủng ransomware phức tạp và nguy hiểm nhất hiện đang tồn tại trong tự nhiên. Do đó, các phiên bản sao chép mới của phần mềm độc hại có thể sớm bắt đầu lưu hành và bổ sung thêm vào bối cảnh mối đe dọa ransomware vốn đã hỗn loạn. Đồng thời, mã bị rò rỉ mang lại cho các nhà nghiên cứu bảo mật mũ trắng cơ hội tách rời phần mềm xây dựng và hiểu rõ hơn về mối đe dọa, theo John Hammond, nhà nghiên cứu bảo mật tại Huntress Labs.
Ông nói trong một tuyên bố: “Sự rò rỉ phần mềm xây dựng này đã biến khả năng định cấu hình, tùy chỉnh và cuối cùng tạo ra các tệp thực thi để không chỉ mã hóa mà còn giải mã các tệp”. “Bất kỳ ai có tiện ích này đều có thể bắt đầu hoạt động ransomware chính thức.”
Đồng thời, một nhà nghiên cứu bảo mật có thể phân tích phần mềm và có khả năng thu thập thông tin tình báo có thể ngăn chặn các cuộc tấn công tiếp theo, ông lưu ý. “Ít nhất, vụ rò rỉ này giúp những người bảo vệ có cái nhìn sâu sắc hơn về một số công việc đang diễn ra trong nhóm LockBit,” Hammond nói.
Huntress Labs là một trong số các nhà cung cấp bảo mật đã phân tích mã bị rò rỉ và xác định nó là hợp pháp.
Mối đe dọa phong phú
LockBit nổi lên vào năm 2019 và kể từ đó nổi lên như một trong những mối đe dọa ransomware lớn nhất hiện nay. Trong nửa đầu năm 2022, các nhà nghiên cứu của Trend Micro xác định khoảng 1,843 cuộc tấn công liên quan đến LockBit, khiến nó trở thành chủng ransomware phổ biến nhất mà công ty gặp phải trong năm nay. Một báo cáo trước đó từ nhóm nghiên cứu mối đe dọa Unit 42 của Palo Alto Networks đã mô tả phiên bản trước của ransomware (LockBit 2.0) là chiếm 46% tổng số sự kiện vi phạm ransomware trong 2.0 tháng đầu năm. Cơ quan bảo mật đã xác định trang web rò rỉ LockBit 850 có danh sách hơn XNUMX nạn nhân tính đến tháng XNUMX. Kể từ khi phát hành LockBit 3.0 vào tháng XNUMX, các cuộc tấn công liên quan đến họ ransomware đã tăng 17%, theo nhà cung cấp bảo mật Secrio.
Các nhà điều hành của LockBit đã thể hiện mình là một tổ chức chuyên nghiệp tập trung chủ yếu vào các tổ chức trong lĩnh vực dịch vụ chuyên nghiệp, lĩnh vực bán lẻ, sản xuất và bán buôn. Nhóm này đã tuyên bố không tấn công các tổ chức chăm sóc sức khỏe cũng như các tổ chức giáo dục và từ thiện, mặc dù các nhà nghiên cứu bảo mật đã quan sát thấy các nhóm sử dụng ransomware vẫn làm như vậy.
Đầu năm nay, nhóm đã gây chú ý khi thậm chí còn đã công bố một chương trình tiền thưởng lỗi trao phần thưởng cho các nhà nghiên cứu bảo mật đã tìm ra vấn đề với ransomware của nó. Nhóm này được cho là đã trả tiền 50,000 USD tiền thưởng cho một thợ săn lỗi đã báo cáo sự cố với phần mềm mã hóa của nó.
Mã hợp pháp
Azim Shukuhi, một nhà nghiên cứu của Cisco Talos, cho biết công ty đã xem xét mã bị rò rỉ và tất cả các dấu hiệu đều cho thấy đây là nhà xây dựng hợp pháp cho phần mềm. “Ngoài ra, phương tiện truyền thông xã hội và nhận xét từ chính quản trị viên của LockBit cho thấy rằng công cụ xây dựng này là có thật. Nó cho phép bạn lắp ráp hoặc xây dựng một phiên bản cá nhân của tải trọng LockBit cùng với trình tạo khóa để giải mã,” ông nói.
Tuy nhiên, Shukuhi có phần nghi ngờ về việc mã bị rò rỉ sẽ mang lại lợi ích cho những người bảo vệ đến mức nào. Ông nói: “Chỉ vì bạn có thể thiết kế ngược trình tạo không có nghĩa là bạn có thể ngăn chặn chính phần mềm ransomware. “Ngoài ra, trong nhiều trường hợp, vào thời điểm ransomware được triển khai, mạng đã bị xâm phạm hoàn toàn.”
Sau vụ rò rỉ, các tác giả của LockBit cũng có thể đang nỗ lực viết lại trình xây dựng để đảm bảo rằng các phiên bản trong tương lai sẽ không bị xâm phạm. Nhóm cũng có khả năng phải giải quyết thiệt hại về thương hiệu do vụ rò rỉ. Shukuhi nói.
Huntress' Hammond nói với Dark Reading rằng vụ rò rỉ "chắc chắn là một khoảnh khắc 'rất tiếc' và gây bối rối cho LockBit cũng như hoạt động bảo mật của họ." Nhưng giống như Shukuhi, anh ấy tin rằng nhóm sẽ chỉ thay đổi công cụ và tiếp tục như trước. Ông nói, các nhóm tác nhân đe dọa khác có thể sử dụng công cụ xây dựng này cho hoạt động của riêng họ. Bất kỳ hoạt động mới nào xung quanh mã bị rò rỉ sẽ chỉ làm kéo dài thêm mối đe dọa hiện có.
Hammond cho biết phân tích của Huntress về mã bị rò rỉ cho thấy các công cụ hiện được tiết lộ có thể cho phép các nhà nghiên cứu bảo mật tìm ra các sai sót hoặc điểm yếu trong quá trình triển khai mật mã. Tuy nhiên, vụ rò rỉ không cung cấp tất cả các khóa riêng tư có thể được sử dụng để giải mã hệ thống, ông nói thêm.
Hammond lưu ý: “Thành thật mà nói, LockBit dường như gạt bỏ vấn đề như thể nó không có gì đáng lo ngại”. “Về cơ bản, đại diện của họ giải thích rằng chúng tôi đã sa thải lập trình viên đã rò rỉ thông tin này và đảm bảo với các chi nhánh và những người ủng hộ rằng hoạt động kinh doanh đó.”
