การทำงานของแรนซัมแวร์ LockBit กับการละเมิดเข้ารหัส
การทำงานของแรนซัมแวร์ LockBit ประสบกับการละเมิด โดยนักพัฒนาที่ถูกกล่าวหาว่าไม่พอใจได้รั่วผู้สร้างสำหรับตัวเข้ารหัสใหม่ล่าสุดของแก๊งค์
ในเดือนมิถุนายน การดำเนินการเรียกค่าไถ่ของ LockBit ได้ปล่อยตัวเข้ารหัสเวอร์ชัน 3.0ซึ่งมีชื่อรหัสว่า LockBit Black หลังจากทดสอบเป็นเวลาสองเดือน
เวอร์ชันใหม่สัญญาว่าจะ ‘ทำให้ Ransomware ยิ่งใหญ่อีกครั้ง’ โดยเพิ่มคุณสมบัติต่อต้านการวิเคราะห์ใหม่ โปรแกรมให้ค่าหัวบั๊กของแรนซัมแวร์ และวิธีการกรรโชกแบบใหม่อย่างไรก็ตาม ดูเหมือนว่า LockBit จะได้รับความเสียหาย โดยมีคนสองคน (หรืออาจเป็นคนเดียวกัน) ที่ปล่อยตัวสร้าง LockBit 3.0 บน Twitter
- บทความอื่น ๆ : sassycheryls.com
ตัวสร้าง LockBit 3.0 รั่วไหลบน Twitterตามที่นักวิจัยด้านความปลอดภัย 3xp0rtผู้ใช้ Twitter ที่ลงทะเบียนใหม่ชื่อ ‘Ali Qushji’ ระบุว่าทีมของพวกเขาแฮ็คเซิร์ฟเวอร์ LockBits และพบผู้สร้างสำหรับตัวเข้ารหัสแรนซัมแวร์ LockBit 3.03xp0rt ทวีตหลังจากที่นักวิจัยด้านความปลอดภัย 3xp0rt ได้แชร์ทวีตเกี่ยวกับตัวสร้าง LockBit 3.0 ที่รั่วไหล VX-Underground ได้แชร์ว่าพวกเขาได้รับการติดต่อเมื่อวันที่ 10 กันยายนโดยผู้ใช้ชื่อ ‘protonleaks’ ซึ่งได้แชร์สำเนาของผู้สร้างด้วย
อย่างไรก็ตาม VX-Underground กล่าวว่า LockBitSupp ตัวแทนสาธารณะของการดำเนินการ LockBit อ้างว่าพวกเขาไม่ได้ถูกแฮ็ก แต่นักพัฒนาที่ไม่พอใจกลับปล่อยตัวสร้าง ransomware ส่วนตัวออกมา”เราติดต่อกับกลุ่ม Lockbit ransomware เกี่ยวกับเรื่องนี้และพบว่าผู้รั่วไหลนี้เป็นโปรแกรมเมอร์ที่กลุ่ม Lockbit ransomware ใช้งาน” VX-Underground แชร์ในทวีตที่ถูกลบไปแล้ว
“พวกเขาไม่พอใจกับความเป็นผู้นำของ Lockbit และทำให้ผู้สร้างรั่วไหลออกมา”BleepingComputer ได้พูดคุยกับนักวิจัยด้านความปลอดภัยหลายคนที่ยืนยันว่าผู้สร้างนั้นถูกต้องตามกฎหมายBuilder ให้ทุกคนเริ่มกลุ่ม ransomware ได้ไม่ว่าตัวสร้างแรนซัมแวร์ส่วนตัวจะรั่วไหลออกมาอย่างไร นี่ไม่เพียงแต่เป็นการโจมตีที่รุนแรงต่อการทำงานของแรนซัมแวร์ของ LockBit แต่ยังรวมถึงองค์กรด้วย ซึ่งจะเห็นการเพิ่มขึ้นของผู้คุกคามที่ใช้มันเพื่อเริ่มการโจมตีของตนเอง
ตัวสร้าง LockBit 3.0 ที่รั่วไหลออกมาช่วยให้ทุกคนสามารถสร้างไฟล์เรียกทำงานที่จำเป็นในการเปิดการทำงานของตนเองได้อย่างรวดเร็ว ซึ่งรวมถึงตัวเข้ารหัส ตัวถอดรหัส และเครื่องมือพิเศษเพื่อเปิดใช้ตัวถอดรหัสด้วยวิธีบางอย่างตัวสร้างประกอบด้วยสี่ไฟล์ ตัวสร้างคีย์การเข้ารหัส ตัวสร้าง ไฟล์การกำหนดค่าที่แก้ไขได้ และไฟล์แบตช์เพื่อสร้างไฟล์ทั้งหมด
ตัวสร้าง LockBit 3.0ไฟล์ตัวสร้าง LockBit 3.0ที่มา: BleepingComputer’config.json’ ที่รวมไว้สามารถใช้เพื่อปรับแต่งตัวเข้ารหัส รวมถึงการแก้ไขบันทึกค่าไถ่ การเปลี่ยนแปลงตัวเลือกการกำหนดค่า ตัดสินใจว่าจะยุติกระบวนการและบริการใด และแม้แต่การระบุคำสั่งและเซิร์ฟเวอร์ควบคุมที่ตัวเข้ารหัสจะส่งข้อมูลโดยการปรับเปลี่ยนไฟล์การกำหนดค่า ผู้คุกคามใด ๆ สามารถปรับแต่งให้เข้ากับความต้องการของตนเอง และแก้ไขหมายเหตุเรียกค่าไถ่ที่สร้างขึ้นเพื่อเชื่อมโยงไปยังโครงสร้างพื้นฐานของตนเองได้
ไฟล์กำหนดค่า LockBit 3.0ไฟล์การกำหนดค่า LockBit 3.0ที่มา: BleepingComputerเมื่อไฟล์แบตช์ถูกดำเนินการ ตัวสร้างจะสร้างไฟล์ทั้งหมดที่จำเป็นในการเปิดแคมเปญแรนซัมแวร์ที่ประสบความสำเร็จดังที่แสดงด้านล่างไฟล์เรียกทำงานของ Ransomware ที่สร้างโดยตัวสร้าง LockBit 3.0ไฟล์เรียกทำงานของ Ransomware ที่สร้างโดยตัวสร้าง LockBit 3.0ที่มา: BleepingComputer
BleepingComputer ได้ทดสอบตัวสร้างแรนซัมแวร์ที่รั่วไหลและสามารถปรับแต่งได้อย่างง่ายดายเพื่อใช้คำสั่งในเครื่องและเซิร์ฟเวอร์ควบคุมของเราเอง เข้ารหัสไฟล์ของเรา จากนั้นถอดรหัสตามที่แสดงด้านล่าง
การสาธิตการสร้างตัวถอดรหัสลับ LockBit 3.0การสาธิตตัวถอดรหัส LockBit 3.0 ที่สร้างขึ้นที่มา: BleepingComputerตัวสร้างนี้ไม่ใช่ครั้งแรกที่ตัวสร้างแรนซัมแวร์หรือซอร์สโค้ดรั่วไหลทางออนไลน์ ซึ่งนำไปสู่การโจมตีที่เพิ่มขึ้นโดยผู้คุกคามรายอื่นๆ ที่เปิดตัวการดำเนินการของตนเอง
ในเดือนมิถุนายน พ.ศ. 2564 ตัว สร้างแรนซัมแวร์ของ Babuk รั่วไหลทำให้ทุกคนสามารถสร้างตัวเข้ารหัสและตัวถอดรหัสสำหรับ Windows และ VMware ESXi ซึ่งผู้คุกคามรายอื่นๆ ใช้ในการโจมตี
ในเดือนมีนาคม 2022 เมื่อการ ดำเนินการของ Conti ransomware ประสบกับการละเมิดข้อมูลซอร์สโค้ดของพวกเขา ก็รั่วไหลทางออนไลน์ เช่นกัน ซอร์สโค้ดนี้ถูก ใช้อย่างรวดเร็วโดยกลุ่มแฮ็ค NB65 เพื่อเริ่มการโจมตี ransomware ในรัสเซีย