ไฟล์ที่ใช้สร้าง Ransomware ของ LOCKBIT 3.0 ถูกเปิดเผย
5 ตุลาคม 2565
ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศเปิดตัว เวอร์ชัน 3.0 ซึ่งมีชื่อเรียกว่า LockBit Black เพิ่มคุณสมบัติกาป้องกันการวิเคราะห์ และให้รางวัลสำหรับผู้ที่เจอข้อบกพร่องหรือบั๊กของโปรแกรม รวมถึงวิธีการใหม่ๆ ที่ใช้ในการโจมตี
ล่าสุดนักวิจัยด้านความปลอดภัย 3xp0rt ได้ออกมโพสบน Twitter ว่าพบบัญชีที่ลงทะเบียนใหม่ที่ใช้ชื่อว่า ‘Ali Qushji’ ได้อ้างว่าตนเอง และทีมงานสามารถเข้าแฮกเซิร์ฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0 ได้
หลังจากที่นักวิจัยด้านความปลอดภัย 3xp0rt ได้ออกมาแชร์ทวีตเกี่ยวกับเรื่องของตัว Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0 ได้ไม่นาน ก็มีกลุ่มผู้เชี่ยวชาญ VX-Underground ได้ออกมาแชร์ทวีตเช่นเดียวกันว่าได้รับการติดต่อจากบัญชีผู้ใช้ที่ชื่อว่า ‘protonleaks’ ในวันที่ 10 กันยายน ที่ผ่านมา และได้แชร์สำเนาข้อมูลตัว Builder ของ LockBit 3.0
ต่อมา LockBitSupp ตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็กตามที่เป็นข่าว แต่เป็นเรื่องของทีมพัฒนา (Developer) ที่มีปัญหาภายใน และทำการปล่อยตัว Builder ของ ransomware ออกมา
เพราะเหตุนี้ตัว Builder ของ LockBit 3.0 ที่ถูกเปิดเผยออกมาทำให้ผู้ที่นำไปใช้งานสามารถเรียกใช้งานไฟล์เองได้ และสร้างเครื่องมือพิเศษในการเข้ารหัส รวมถึงการถอดรหัส เครื่องมือที่ใช้จะประกอบด้วยองค์ประกอบต่างๆ 4 ไฟล์ด้วยกันคือ
LockBit 3.0 builder files
ในไฟล์ ‘config.json’ ที่สามารถใช้ปรับแต่งตัวเข้ารหัส และแก้ไขไฟล์เรียกค่าไถ่ นอกจากนั้นยังรวมถึงการกำหนดค่าการทำงานว่าต้องการให้หยุด หรือดำเนินการต่อบนอุปกรณ์เซิร์ฟเวอร์ที่ใช้ควบคุมการเข้ารหัส และส่งข้อมูล และยังสามารถส่งข้อมูลที่ปรับแต่งแล้วกลับไปยัง server ของตนเองได้
LockBit 3.0 configuration file
เมื่อ Batch File ถูก execute เรียบร้อยแล้วจะทำการสร้างไฟล์ทั้งหมดที่จำเป็นในการดำเนินการดังตัวอย่างรูปภาพที่แสดง
Ransomware executables created by the LockBit 3.0 builder
ทาง Bleeping Computer ได้ทำการทดสอบการ Builder ของ ransomware พบว่าสามารถสร้างได้จริง ในเรื่องของการปรับแต่งสามารถทำได้อย่างง่าย รวมถึงการใช้คำสั่งต่างๆ ภายในเครื่องผู้ใช้งาน และเครื่องเซิร์ฟเวอร์ที่ใช้ในการควบคุมการเข้ารหัส, ถอดรหัส
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา