การทำงานของแรนซัมแวร์ LockBit กับการละเมิดเข้ารหัส

การทำงานของแรนซัมแวร์ LockBit ประสบกับการละเมิด โดยนักพัฒนาที่ถูกกล่าวหาว่าไม่พอใจได้รั่วผู้สร้างสำหรับตัวเข้ารหัสใหม่ล่าสุดของแก๊งค์

ในเดือนมิถุนายน การดำเนินการเรียกค่าไถ่ของ LockBit ได้ปล่อยตัวเข้ารหัสเวอร์ชัน 3.0ซึ่งมีชื่อรหัสว่า LockBit Black หลังจากทดสอบเป็นเวลาสองเดือน

เวอร์ชันใหม่สัญญาว่าจะ ‘ทำให้ Ransomware ยิ่งใหญ่อีกครั้ง’ โดยเพิ่มคุณสมบัติต่อต้านการวิเคราะห์ใหม่ โปรแกรมให้ค่าหัวบั๊กของแรนซัมแวร์ และวิธีการกรรโชกแบบใหม่อย่างไรก็ตาม ดูเหมือนว่า LockBit จะได้รับความเสียหาย โดยมีคนสองคน (หรืออาจเป็นคนเดียวกัน) ที่ปล่อยตัวสร้าง LockBit 3.0 บน Twitter

ตัวสร้าง LockBit 3.0 รั่วไหลบน Twitterตามที่นักวิจัยด้านความปลอดภัย 3xp0rtผู้ใช้ Twitter ที่ลงทะเบียนใหม่ชื่อ ‘Ali Qushji’ ระบุว่าทีมของพวกเขาแฮ็คเซิร์ฟเวอร์ LockBits และพบผู้สร้างสำหรับตัวเข้ารหัสแรนซัมแวร์ LockBit 3.03xp0rt ทวีตหลังจากที่นักวิจัยด้านความปลอดภัย 3xp0rt ได้แชร์ทวีตเกี่ยวกับตัวสร้าง LockBit 3.0 ที่รั่วไหล VX-Underground ได้แชร์ว่าพวกเขาได้รับการติดต่อเมื่อวันที่ 10 กันยายนโดยผู้ใช้ชื่อ ‘protonleaks’ ซึ่งได้แชร์สำเนาของผู้สร้างด้วย

อย่างไรก็ตาม VX-Underground กล่าวว่า LockBitSupp ตัวแทนสาธารณะของการดำเนินการ LockBit อ้างว่าพวกเขาไม่ได้ถูกแฮ็ก แต่นักพัฒนาที่ไม่พอใจกลับปล่อยตัวสร้าง ransomware ส่วนตัวออกมา”เราติดต่อกับกลุ่ม Lockbit ransomware เกี่ยวกับเรื่องนี้และพบว่าผู้รั่วไหลนี้เป็นโปรแกรมเมอร์ที่กลุ่ม Lockbit ransomware ใช้งาน” VX-Underground แชร์ในทวีตที่ถูกลบไปแล้ว

“พวกเขาไม่พอใจกับความเป็นผู้นำของ Lockbit และทำให้ผู้สร้างรั่วไหลออกมา”BleepingComputer ได้พูดคุยกับนักวิจัยด้านความปลอดภัยหลายคนที่ยืนยันว่าผู้สร้างนั้นถูกต้องตามกฎหมายBuilder ให้ทุกคนเริ่มกลุ่ม ransomware ได้ไม่ว่าตัวสร้างแรนซัมแวร์ส่วนตัวจะรั่วไหลออกมาอย่างไร นี่ไม่เพียงแต่เป็นการโจมตีที่รุนแรงต่อการทำงานของแรนซัมแวร์ของ LockBit แต่ยังรวมถึงองค์กรด้วย ซึ่งจะเห็นการเพิ่มขึ้นของผู้คุกคามที่ใช้มันเพื่อเริ่มการโจมตีของตนเอง

ตัวสร้าง LockBit 3.0 ที่รั่วไหลออกมาช่วยให้ทุกคนสามารถสร้างไฟล์เรียกทำงานที่จำเป็นในการเปิดการทำงานของตนเองได้อย่างรวดเร็ว ซึ่งรวมถึงตัวเข้ารหัส ตัวถอดรหัส และเครื่องมือพิเศษเพื่อเปิดใช้ตัวถอดรหัสด้วยวิธีบางอย่างตัวสร้างประกอบด้วยสี่ไฟล์ ตัวสร้างคีย์การเข้ารหัส ตัวสร้าง ไฟล์การกำหนดค่าที่แก้ไขได้ และไฟล์แบตช์เพื่อสร้างไฟล์ทั้งหมด

ตัวสร้าง LockBit 3.0ไฟล์ตัวสร้าง LockBit 3.0ที่มา: BleepingComputer’config.json’ ที่รวมไว้สามารถใช้เพื่อปรับแต่งตัวเข้ารหัส รวมถึงการแก้ไขบันทึกค่าไถ่ การเปลี่ยนแปลงตัวเลือกการกำหนดค่า ตัดสินใจว่าจะยุติกระบวนการและบริการใด และแม้แต่การระบุคำสั่งและเซิร์ฟเวอร์ควบคุมที่ตัวเข้ารหัสจะส่งข้อมูลโดยการปรับเปลี่ยนไฟล์การกำหนดค่า ผู้คุกคามใด ๆ สามารถปรับแต่งให้เข้ากับความต้องการของตนเอง และแก้ไขหมายเหตุเรียกค่าไถ่ที่สร้างขึ้นเพื่อเชื่อมโยงไปยังโครงสร้างพื้นฐานของตนเองได้

ไฟล์กำหนดค่า LockBit 3.0ไฟล์การกำหนดค่า LockBit 3.0ที่มา: BleepingComputerเมื่อไฟล์แบตช์ถูกดำเนินการ ตัวสร้างจะสร้างไฟล์ทั้งหมดที่จำเป็นในการเปิดแคมเปญแรนซัมแวร์ที่ประสบความสำเร็จดังที่แสดงด้านล่างไฟล์เรียกทำงานของ Ransomware ที่สร้างโดยตัวสร้าง LockBit 3.0ไฟล์เรียกทำงานของ Ransomware ที่สร้างโดยตัวสร้าง LockBit 3.0ที่มา: BleepingComputer
BleepingComputer ได้ทดสอบตัวสร้างแรนซัมแวร์ที่รั่วไหลและสามารถปรับแต่งได้อย่างง่ายดายเพื่อใช้คำสั่งในเครื่องและเซิร์ฟเวอร์ควบคุมของเราเอง เข้ารหัสไฟล์ของเรา จากนั้นถอดรหัสตามที่แสดงด้านล่าง

การสาธิตการสร้างตัวถอดรหัสลับ LockBit 3.0การสาธิตตัวถอดรหัส LockBit 3.0 ที่สร้างขึ้นที่มา: BleepingComputerตัวสร้างนี้ไม่ใช่ครั้งแรกที่ตัวสร้างแรนซัมแวร์หรือซอร์สโค้ดรั่วไหลทางออนไลน์ ซึ่งนำไปสู่การโจมตีที่เพิ่มขึ้นโดยผู้คุกคามรายอื่นๆ ที่เปิดตัวการดำเนินการของตนเอง

ในเดือนมิถุนายน พ.ศ. 2564 ตัว สร้างแรนซัมแวร์ของ Babuk รั่วไหลทำให้ทุกคนสามารถสร้างตัวเข้ารหัสและตัวถอดรหัสสำหรับ Windows และ VMware ESXi ซึ่งผู้คุกคามรายอื่นๆ ใช้ในการโจมตี

ในเดือนมีนาคม 2022 เมื่อการ ดำเนินการของ Conti ransomware ประสบกับการละเมิดข้อมูลซอร์สโค้ดของพวกเขา ก็รั่วไหลทางออนไลน์ เช่นกัน ซอร์สโค้ดนี้ถูก ใช้อย่างรวดเร็วโดยกลุ่มแฮ็ค NB65 เพื่อเริ่มการโจมตี ransomware ในรัสเซีย

 

 

Releated