Normal bir iş kolunda bir fidye yazılımı operasyonu yürütmenin bir sorunu, hoşnutsuz çalışanların algılanan bir adaletsizlik yüzünden operasyonu sabote etmek isteyebilecek olmalarıdır.
Görünüşe göre bu, görünüşe göre öfkeli bir geliştirici, kötü amaçlı yazılımın en son sürümü olan LockBit 3.0, diğer adıyla LockBit Black için şifreleyici kodunu GitHub’a yayınladığında, bu hafta üretken LockBit bir hizmet olarak fidye yazılımı operasyonunun operatörleri için geçerliydi. . Gelişmenin güvenlik savunucuları için hem olumsuz hem de potansiyel olarak olumlu etkileri var.
Herkese Açık Sezon
Kodun herkese açık olması, diğer fidye yazılımı operatörlerinin – ve özenti olanların – şu anda vahşi olan tartışmasız en karmaşık ve tehlikeli fidye yazılımı türlerinden biri için oluşturucuya erişimi olduğu anlamına geliyor. Sonuç olarak, kötü amaçlı yazılımın yeni taklitçi sürümleri yakında dolaşmaya ve zaten kaotik olan fidye yazılımı tehdidi ortamına eklemeye başlayabilir. Huntress Labs güvenlik araştırmacısı John Hammond’a göre, sızdırılan kod aynı zamanda beyaz şapkalı güvenlik araştırmacılarına oluşturucu yazılımı parçalara ayırma ve tehdidi daha iyi anlama şansı veriyor.
Bir açıklamada, “Oluşturucu yazılımının bu sızıntısı, yalnızca dosyaları şifrelemekle kalmayıp şifrelerini çözmek için yürütülebilir dosyaları yapılandırma, özelleştirme ve nihayetinde oluşturma yeteneğini metalaştırıyor” dedi. “Bu yardımcı programa sahip herkes tam teşekküllü bir fidye yazılımı işlemi başlatabilir.”
Aynı zamanda, bir güvenlik araştırmacısı yazılımı analiz edebilir ve potansiyel olarak daha fazla saldırıyı engelleyebilecek istihbarat toplayabilir. Hammond, “En azından bu sızıntı, savunuculara LockBit grubu içinde devam eden çalışmaların bir kısmı hakkında daha fazla fikir veriyor.” Dedi.
Huntress Labs, sızdırılan kodu analiz eden ve yasal olduğunu tespit eden birkaç güvenlik sağlayıcısından biridir.
Üretken Tehdit
LockBit 2019’da ortaya çıktı ve o zamandan beri mevcut en büyük fidye yazılımı tehditlerinden biri olarak ortaya çıktı. 2022’nin ilk yarısında Trend Micro’dan araştırmacılar 1.843 saldırı tespit etti LockBit’i içeren, şirketin bu yıl karşılaştığı en üretken fidye yazılımı türü. Palo Alto Networks’ün 42. Birim tehdit araştırma ekibinin daha önceki bir raporu, fidye yazılımının (LockBit 2.0) önceki sürümünü şu şekilde tanımlamıştı: tüm fidye yazılımı ihlali olaylarının %46’sını oluşturuyor yılın ilk beş ayında. Güvenlik, LockBit 2.0 için sızıntı sitesinin Mayıs ayı itibariyle 850’den fazla kurbanı listelediğini belirledi. LockBit 3.0’ın Haziran ayında piyasaya sürülmesinden bu yana, fidye yazılımı ailesini içeren saldırılar, %17 arttıgüvenlik sağlayıcısı Sectrio’ya göre.
LockBit’in operatörleri, kendilerini esas olarak profesyonel hizmetler sektörü, perakende, imalat ve toptan satış sektörlerindeki kuruluşlara odaklanan profesyonel bir ekip olarak tanımladılar. Güvenlik araştırmacıları, fidye yazılımı kullanan grupların yine de bunu yaptığını gözlemlese de, grup sağlık kuruluşlarına, eğitim ve hayır kurumlarına saldırmayacağını taahhüt etti.
Bu yılın başlarında grup, fidye yazılımıyla ilgili sorunlar bulan güvenlik araştırmacılarına ödüller sunan bir hata ödül programı duyurduğunda bile dikkatleri üzerine topladı. Grubun ödeme yaptığı iddia ediliyor. 50.000 dolar ödül parası şifreleme yazılımıyla ilgili bir sorun bildiren bir böcek avcısına.
Yasal Kod
Cisco Talos araştırmacısı Azim Shukuhi, şirketin sızdırılan koda baktığını ve tüm göstergelerin, yazılımın yasal oluşturucusu olduğuna işaret ettiğini söylüyor. “Ayrıca, sosyal medya ve LockBit’in yöneticisinden gelen yorumlar, oluşturucunun gerçek olduğunu gösteriyor. Şifre çözme için bir anahtar oluşturucu ile birlikte LockBit yükünün kişisel bir sürümünü birleştirmenize veya oluşturmanıza olanak tanıyor” diyor.
Ancak Shukuhi, sızdırılan kodun savunuculara ne kadar fayda sağlayacağı konusunda biraz şüpheli. “İnşaatçıya ters mühendislik uygulayabilmeniz, fidye yazılımının kendisini durdurabileceğiniz anlamına gelmez” diyor. “Ayrıca, birçok durumda fidye yazılımı dağıtılana kadar ağ tamamen tehlikeye girmiştir.”
Sızıntının ardından LockBit’in yazarları, gelecekteki sürümlerin tehlikeye atılmamasını sağlamak için oluşturucuyu yeniden yazmak için muhtemelen çok çalışıyorlar. Grup ayrıca sızıntıdan kaynaklanan marka hasarıyla da uğraşıyor. Shukuhi diyor.
Bir röportajda Huntress Hammond, Dark Reading’e sızıntının “kesinlikle bir ayy” olduğunu söyledi. [moment] ve LockBit ve operasyonel güvenlikleri için utanç verici.” Ancak Shukuhi gibi, grubun basitçe araçlarını değiştireceğine ve eskisi gibi devam edeceğine inanıyor. Diğer tehdit aktörü grupları bu oluşturucuyu kendi operasyonları için kullanabilir, diyor. sızdırılan kod sadece mevcut tehdidi devam ettirecek.
Hammond, Huntress’in sızdırılan kod analizinin, şu anda açığa çıkan araçların güvenlik araştırmacılarının kriptografik uygulamada potansiyel olarak kusurları veya zayıflıkları bulmasını sağlayabileceğini gösterdiğini söylüyor. Ancak sızıntı, sistemlerin şifresini çözmek için kullanılabilecek tüm özel anahtarları sunmuyor, diye ekliyor.
Hammond, “Doğrusu, LockBit sorunu sanki hiç sorun değilmiş gibi görmezden geldi” diyor. “Temsilcileri, özünde, bunu sızdıran programcıyı kovduğumuzu ve bağlı kuruluşlara ve destekçilere bu işi garanti ettiğimizi açıkladı.”