0
0
Um problema com a execução de uma operação de ransomware nos moldes de um negócio normal é que os funcionários descontentes podem querer sabotar a operação por alguma injustiça percebida.
Esse parece ter sido o caso dos operadores da prolífica operação de ransomware como serviço LockBit esta semana, quando um desenvolvedor aparentemente irritado divulgou publicamente o código criptografador para a versão mais recente do malware – LockBit 3.0, também conhecido como LockBit Black – no GitHub . O desenvolvimento tem implicações negativas e potencialmente positivas para os defensores da segurança.
Uma temporada aberta para todos
A disponibilidade pública do código significa que outros operadores de ransomware – e aspirantes a – agora têm acesso ao construtor para, sem dúvida, uma das linhagens de ransomware mais sofisticadas e perigosas atualmente disponíveis. Como resultado, novas versões imitadoras do malware podem em breve começar a circular e se somar ao já caótico cenário de ameaças de ransomware. Ao mesmo tempo, o código vazado dá aos pesquisadores de segurança de chapéu branco a chance de desmontar o software do construtor e entender melhor a ameaça, de acordo com John Hammond, pesquisador de segurança da Huntress Labs.
“Esse vazamento do software do construtor comoditiza a capacidade de configurar, personalizar e, finalmente, gerar os executáveis para não apenas criptografar, mas descriptografar arquivos”, disse ele em comunicado. “Qualquer pessoa com este utilitário pode iniciar uma operação de ransomware completa.”
Ao mesmo tempo, um pesquisador de segurança pode analisar o software e potencialmente obter informações que podem impedir novos ataques, observou ele. “No mínimo, esse vazamento dá aos defensores uma visão maior de alguns dos trabalhos que acontecem dentro do grupo LockBit”, disse Hammond.
A Huntress Labs é um dos vários fornecedores de segurança que analisaram o código vazado e o identificaram como legítimo.
Ameaça prolífica
O LockBit surgiu em 2019 e desde então emergiu como uma das maiores ameaças de ransomware atuais. No primeiro semestre de 2022, pesquisadores da Trend Micro identificaram cerca de 1.843 ataques envolvendo o LockBit, tornando-o o tipo de ransomware mais prolífico que a empresa encontrou este ano. Um relatório anterior da equipe de pesquisa de ameaças Unit 42 da Palo Alto Networks descreveu a versão anterior do ransomware (LockBit 2.0) como responsável por 46% de todos os eventos de violação de ransomware nos primeiros cinco meses do ano. A segurança identificou o site de vazamento do LockBit 2.0 como listando mais de 850 vítimas em maio. Desde o lançamento do LockBit 3.0 em junho , os ataques envolvendo a família de ransomware aumentaram 17%, de acordo com o fornecedor de segurança Sectrio.
Os operadores da LockBit se retrataram como uma empresa profissional focada principalmente em organizações do setor de serviços profissionais, varejo, manufatura e atacado. O grupo declarou não atacar entidades de saúde e instituições educacionais e de caridade, embora pesquisadores de segurança tenham observado que grupos que usam o ransomware o fazem de qualquer maneira.
No início deste ano, o grupo chamou a atenção quando anunciou um programa de recompensas por bugs que oferecia recompensas a pesquisadores de segurança que encontrassem problemas com seu ransomware. O grupo supostamente pagou US$ 50.000 em recompensa em dinheiro a um caçador de bugs que relatou um problema com seu software de criptografia.
Código legítimo
Azim Shukuhi, pesquisador da Cisco Talos, diz que a empresa analisou o código vazado e todas as indicações são de que é o construtor legítimo do software. “Além disso, a mídia social e os comentários do próprio administrador do LockBit indicam que o construtor é real. Ele permite que você monte ou construa uma versão pessoal da carga útil do LockBit junto com um gerador de chaves para descriptografia”, diz ele.
No entanto, Shukuhi tem dúvidas sobre o quanto o código vazado beneficiará os defensores. “Só porque você pode fazer engenharia reversa do construtor não significa que você pode parar o próprio ransomware”, diz ele. “Além disso, em muitas circunstâncias, no momento em que o ransomware é implantado, a rede está totalmente comprometida.”
Após o vazamento, os autores do LockBit provavelmente também estão trabalhando duro para reescrever o construtor para garantir que as versões futuras não sejam comprometidas. O grupo também provavelmente está lidando com danos à marca do vazamento. Shukuhi diz.
Em uma entrevista, Hammond da Huntress disse ao Dark Reading que o vazamento foi “certamente um ‘oops’ [momento] e constrangimento para a LockBit e sua segurança operacional”. Mas, como Shukuhi, ele acredita que o grupo simplesmente mudará suas ferramentas e continuará como antes. Outros grupos de atores de ameaças podem usar esse construtor para suas próprias operações, diz ele. Qualquer nova atividade em torno do código vazado apenas perpetuará a ameaça existente.
Hammond diz que a análise da Huntress do código vazado mostra que as ferramentas agora expostas podem permitir que pesquisadores de segurança encontrem falhas ou fraquezas na implementação criptográfica. Mas o vazamento não oferece todas as chaves privadas que podem ser usadas para descriptografar sistemas, acrescenta.
“Na verdade, a LockBit parecia ignorar o problema como se não fosse preocupação”, observa Hammond. “Seus representantes explicaram, em essência, que demitimos o programador que vazou isso e asseguramos aos afiliados e apoiadores esse negócio”.
FONTE: DARK READING