เมนู

ไฟล์ที่ใช้สร้าง Ransomware ของ LOCKBIT 3.0 ถูกเปิดเผย

LockBit3 FULL

พบ!! ข้อมูลที่ถูกเผยแพร่มาจากปัญหาภายในของทีม Developer

5 ตุลาคม 2565

ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศเปิดตัว เวอร์ชัน 3.0 ซึ่งมีชื่อเรียกว่า LockBit Black เพิ่มคุณสมบัติกาป้องกันการวิเคราะห์ และให้รางวัลสำหรับผู้ที่เจอข้อบกพร่องหรือบั๊กของโปรแกรม รวมถึงวิธีการใหม่ๆ ที่ใช้ในการโจมตี

ล่าสุดนักวิจัยด้านความปลอดภัย 3xp0rt ได้ออกมโพสบน Twitter ว่าพบบัญชีที่ลงทะเบียนใหม่ที่ใช้ชื่อว่า ‘Ali Qushji’ ได้อ้างว่าตนเอง และทีมงานสามารถเข้าแฮกเซิร์ฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0 ได้

หลังจากที่นักวิจัยด้านความปลอดภัย 3xp0rt ได้ออกมาแชร์ทวีตเกี่ยวกับเรื่องของตัว Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0 ได้ไม่นาน ก็มีกลุ่มผู้เชี่ยวชาญ VX-Underground ได้ออกมาแชร์ทวีตเช่นเดียวกันว่าได้รับการติดต่อจากบัญชีผู้ใช้ที่ชื่อว่า  ‘protonleaks’ ในวันที่ 10 กันยายน ที่ผ่านมา และได้แชร์สำเนาข้อมูลตัว Builder ของ LockBit 3.0

ต่อมา LockBitSupp ตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็กตามที่เป็นข่าว แต่เป็นเรื่องของทีมพัฒนา (Developer) ที่มีปัญหาภายใน และทำการปล่อยตัว Builder ของ ransomware ออกมา

เพราะเหตุนี้ตัว Builder ของ LockBit 3.0 ที่ถูกเปิดเผยออกมาทำให้ผู้ที่นำไปใช้งานสามารถเรียกใช้งานไฟล์เองได้ และสร้างเครื่องมือพิเศษในการเข้ารหัส รวมถึงการถอดรหัส เครื่องมือที่ใช้จะประกอบด้วยองค์ประกอบต่างๆ 4 ไฟล์ด้วยกันคือ

  1. Generate Key
  2. Builder File
  3. Configuration Files
  4. Batch File

LockBit 3.0 builder files

ในไฟล์  ‘config.json’ ที่สามารถใช้ปรับแต่งตัวเข้ารหัส และแก้ไขไฟล์เรียกค่าไถ่ นอกจากนั้นยังรวมถึงการกำหนดค่าการทำงานว่าต้องการให้หยุด หรือดำเนินการต่อบนอุปกรณ์เซิร์ฟเวอร์ที่ใช้ควบคุมการเข้ารหัส และส่งข้อมูล  และยังสามารถส่งข้อมูลที่ปรับแต่งแล้วกลับไปยัง server ของตนเองได้

LockBit 3.0 configuration file

เมื่อ Batch File ถูก execute เรียบร้อยแล้วจะทำการสร้างไฟล์ทั้งหมดที่จำเป็นในการดำเนินการดังตัวอย่างรูปภาพที่แสดง

Ransomware executables created by the LockBit 3.0 builder

ทาง Bleeping Computer ได้ทำการทดสอบการ Builder ของ ransomware พบว่าสามารถสร้างได้จริง ในเรื่องของการปรับแต่งสามารถทำได้อย่างง่าย รวมถึงการใช้คำสั่งต่างๆ ภายในเครื่องผู้ใช้งาน และเครื่องเซิร์ฟเวอร์ที่ใช้ในการควบคุมการเข้ารหัส, ถอดรหัส