像常规业务一样运行勒索软件操作的一个问题是,心怀不满的员工可能会因为一些感知到的不公正而想要破坏操作。
本周,多产的 LockBit 勒索软件即服务操作的运营商似乎就是这种情况,当时一位显然被激怒的开发人员向 GitHub 公开发布了最新版本的恶意软件 LockBit 3.0 又名 LockBit Black 的加密器代码. 这一发展对安全维护者既有负面影响,也有潜在的积极影响。
所有人的开放季节
该代码的公开可用性意味着其他勒索软件运营商 - 以及想要成为的运营商 - 现在可以访问构建器,以获取可以说是目前野外最复杂和最危险的勒索软件菌株之一。 因此,该恶意软件的新模仿版本可能很快就会开始传播,并增加已经混乱的勒索软件威胁格局。 Huntress Labs 的安全研究员 John Hammond 表示,与此同时,泄露的代码让白帽安全研究人员有机会拆开构建器软件并更好地了解威胁。
“构建器软件的这种泄漏使配置、定制和最终生成可执行文件的能力商品化,不仅可以加密文件,还可以解密文件,”他在一份声明中说。 “任何拥有此实用程序的人都可以启动全面的勒索软件操作。”
他指出,与此同时,安全研究人员可以分析软件并获得可能阻止进一步攻击的情报。 “至少,这次泄密可以让防御者更深入地了解 LockBit 集团内部正在进行的一些工作,”哈蒙德说。
Huntress Labs 是分析泄露代码并将其确定为合法的几家安全供应商之一。
多产的威胁
LockBit 于 2019 年浮出水面,此后已成为当前最大的勒索软件威胁之一。 2022年上半年,来自趋势科技的研究人员 确定了大约 1,843 次攻击 涉及 LockBit,使其成为该公司今年遇到的最多产的勒索软件。 Palo Alto Networks 的 Unit 42 威胁研究团队早些时候的一份报告将勒索软件 (LockBit 2.0) 的早期版本描述为 占所有勒索软件泄露事件的 46% 在今年的前五个月。 截至 2.0 月,安全部门确定 LockBit 850 的泄漏站点列出了 XNUMX 多名受害者。 由于 3.0月发布LockBit XNUMX, 涉及勒索软件家族的攻击有 增加17%,据安全供应商 Sectrio 称。
LockBit 的运营商将自己描绘成一个专业机构,主要专注于专业服务部门、零售、制造和批发部门的组织。 该组织已发誓不会攻击医疗保健实体以及教育和慈善机构,尽管安全研究人员观察到使用勒索软件的组织无论如何都会这样做。
今年早些时候,该集团甚至在 宣布了一个漏洞赏金计划 向发现勒索软件问题的安全研究人员提供奖励。 该集团据称已支付 50,000 美元的奖励金 给报告其加密软件问题的漏洞猎人。
合法代码
思科 Talos 的研究员 Azim Shukuhi 表示,该公司已经查看了泄露的代码,所有迹象都表明它是该软件的合法构建者。 “此外,来自 LockBit 管理员的社交媒体和评论本身表明该建造者是真实的。 它允许您组装或构建 LockBit 有效负载的个人版本以及用于解密的密钥生成器,”他说。
然而,Shukuhi 有点怀疑泄露的代码会给防御者带来多大的好处。 “仅仅因为你可以对构建器进行逆向工程并不意味着你可以阻止勒索软件本身,”他说。 “此外,在许多情况下,当勒索软件被部署时,网络已经完全受到威胁。”
泄漏之后,LockBit 的作者也可能会努力重写构建器,以确保未来的版本不会受到损害。 该组织还可能处理泄漏造成的品牌损害。 淑姬说道。
Huntress 的 Hammond 告诉 Dark Reading,这次泄露“对于 LockBit 及其运营安全来说肯定是一个‘哎呀’[时刻] 和尴尬。” 但和 Shukuhi 一样,他相信该团队将简单地改变他们的工具并像以前一样继续前进。 他说,其他威胁行为者团体可能会将此构建器用于自己的操作。 任何围绕泄露代码的新活动只会延续现有的威胁。
哈蒙德说,Huntress 对泄露代码的分析表明,现在公开的工具可能使安全研究人员能够潜在地发现加密实施中的缺陷或弱点。 但他补充说,泄漏并未提供可用于解密系统的所有私钥。
“说实话,LockBit 似乎对这个问题置若罔闻,就好像它无关紧要一样,”哈蒙德指出。 “他们的代表解释说,本质上,我们已经解雇了泄露此事的程序员,并向关联公司和支持者保证了这项业务。”
