El desarrollador filtra el código del generador de ransomware LockBit 3.



Un problema con la ejecución de una operación de ransomware a lo largo de las líneas de un negocio typical es que los empleados descontentos pueden querer sabotear la operación por alguna injusticia percibida.

Ese parece haber sido el caso con los operadores de la prolífica operación de ransomware como servicio LockBit esta semana cuando un desarrollador aparentemente molesto lanzó públicamente el código de encriptación para la última versión del malware, LockBit 3., también conocido como LockBit Black, a GitHub. . El desarrollo tiene implicaciones tanto negativas como potencialmente positivas para los defensores de la seguridad.

Una temporada abierta para todos

La disponibilidad pública del código significa que otros operadores de ransomware, y los aspirantes, ahora tienen acceso al generador de posiblemente una de las cepas de ransomware más sofisticadas y peligrosas que existen actualmente. Como resultado, las nuevas versiones imitadoras del malware podrían comenzar a round pronto y sumarse al ya caótico panorama de amenazas de ransomware. Al mismo tiempo, el código filtrado brinda a los investigadores de seguridad de sombrero blanco la oportunidad de desarmar el software package de construcción y comprender mejor la amenaza, según John Hammond, investigador de seguridad de Huntress Labs.

«Esta fuga del application de creación mercantiliza la capacidad de configurar, personalizar y, en última instancia, generar los ejecutables no solo para cifrar sino también para descifrar archivos», dijo en un comunicado. «Cualquiera con esta utilidad puede iniciar una operación de ransomware completa».

Al mismo tiempo, un investigador de seguridad puede analizar el computer software y potencialmente obtener inteligencia que podría frustrar más ataques, señaló. «Como mínimo, esta filtración brinda a los defensores una mayor comprensión de parte del trabajo que se lleva a cabo dentro del grupo LockBit», dijo Hammond.

Huntress Labs es uno de varios proveedores de seguridad que analizaron el código filtrado y lo identificaron como legítimo.

Amenaza prolífica

LockBit apareció en 2019 y desde entonces se ha convertido en una de las mayores amenazas de ransomware actuales. En la primera mitad de 2022, investigadores de Craze Micro identificado unos 1.843 ataques involucrando a LockBit, lo que la convierte en la variedad de ransomware más prolífica que la compañía ha encontrado este año. Un informe anterior del equipo de investigación de amenazas de la Unidad 42 de Palo Alto Networks describió la versión anterior del ransomware (LockBit 2.) como representando el 46% de todos los eventos de violación de ransomware en los primeros cinco meses del año. La seguridad identificó el sitio de fuga de LockBit 2. con una lista de más de 850 víctimas a partir de mayo. Desde el lanzamiento de LockBit 3. en junio, los ataques que involucran a la familia de ransomware han aumentó 17%según el proveedor de seguridad Sectrio.

Los operadores de LockBit se han presentado a sí mismos como un equipo profesional centrado principalmente en organizaciones del sector de servicios profesionales, minorista, manufacturero y mayorista. El grupo ha prometido no atacar a las entidades de atención médica ni a las instituciones educativas y benéficas, aunque los investigadores de seguridad han observado que los grupos que usan el ransomware lo hacen de todos modos.

A principios de este año, el grupo llamó la atención cuando incluso anunció un programa de recompensas por errores que ofrecía recompensas a los investigadores de seguridad que encontraran problemas con su ransomware. Se alega que el grupo pagó $ 50,000 en dinero de recompensa a un cazador de errores que informó un problema con su software de encriptación.

Código legítimo

Azim Shukuhi, un investigador de Cisco Talos, dice que la compañía analizó el código filtrado y todo indica que es el creador legítimo del application. «Además, las redes sociales y los comentarios del propio administrador de LockBit indican que el constructor es serious. Te permite ensamblar o construir una versión private de la carga útil de LockBit junto con un generador de claves para el descifrado», dice.

Sin embargo, Shukuhi tiene algunas dudas sobre cuánto beneficiará a los defensores el código filtrado. «El hecho de que pueda aplicar ingeniería inversa al constructor no significa que pueda detener el ransomware en sí», dice. «Además, en muchas circunstancias, cuando se implementa el ransomware, la pink se ha visto completamente comprometida».

Después de la filtración, es possible que los autores de LockBit también estén trabajando arduamente para reescribir el constructor para garantizar que las versiones futuras no se vean comprometidas. Es probable que el grupo también esté lidiando con daños a la marca por la filtración. Shukuhi dice.

En una entrevista, Hammond de Huntress le dice a Dim Examining que la filtración fue «ciertamente un ‘ups’ [moment] y vergüenza para LockBit y su seguridad operativa». Pero al igual que Shukuhi, él cree que el grupo simplemente cambiará sus herramientas y continuará como antes. Otros grupos de actores de amenazas pueden usar este generador para sus propias operaciones, dice. Cualquier actividad nueva en torno a el código filtrado solo perpetuará la amenaza existente.

Hammond dice que el análisis de Huntress del código filtrado muestra que las herramientas ahora expuestas podrían permitir a los investigadores de seguridad encontrar fallas o debilidades en la implementación criptográfica. Pero la filtración no ofrece todas las claves privadas que podrían usarse para descifrar sistemas, agrega.

«A decir verdad, LockBit pareció ignorar el problema como si no fuera una preocupación», señala Hammond. «Sus representantes explicaron que, en esencia, hemos despedido al programador que filtró esto y les aseguramos a los afiliados y simpatizantes ese negocio».





Enlace a la noticia initial