Lockbit lancerer Bug Bounty-program

Af Eskil Sørensen, 28/06/22

Ransomwareudviklingen vil ingen ende tage.

Ransomware-gruppen Lockbit tilbyder nu sikkerhedsresearchere dusør for hjælp til at afsløre sårbarheder i gruppens ransomware-as-a-service-produkter.

Det skriver Bankinfosecurity m.fl.

Konkret har gruppen meldt ud, at den vil betale dusør til enkeltpersoner, der finder fejl i gruppens egen software. Det vil altså sige den software, som gruppen bruger med det formål at kryptere filer ifm. med ransomwareangreb.

Udmeldingen fremgår ifølge Bankinfosecurity af gruppens hjemmeside, hvor det hedder, at ’..vi inviterer alle sikkerhedsresearchere, etiske og uetiske hackere på planeten til at deltage i vores Bug Bounty-program. Dusørens størrelsen går fra 1000 dollar til en million’.

Ransomware-gruppen kom med udmeldingen i forbindelse med udrulningen af en ny version af den formentlig forbedrede malware, LockBit 3.0, under sloganet ’Make ransomware great again!’.

Nyt kapitel

Bug Bounty er betegnelsen for de programmer, som har til formål at tilskynde til ansvarlig afsløring af sårbarheder. Det er det, der i fagsprog hedder ’responsible disclosure’, og som kan være en ganske lukrativ forretning for researchere, der vælger at gå til leverandøren af software, fremfor at sælge oplysninger om sårbarhederne på Dark Web.

Med Lockbits annoncering af Bug Bounty-programmet er der tilføjet et nyt kapitel til de efterhånden mange, der beskriver, hvordan ransomwaregrupperinger kopierer forretningsmetoder og processer fra legitime virksomheder.

Men spørgsmålet er, hvilket Bankinfosecurity spekulerer i, om researchere så rent faktisk vil deltage i Lockbit-gruppens Bug Bounty-program. Spekulationerne bygger på interviews med forskellige sikkerhedsfolk på den rigtige side af loven. Der peges også på, at Lockbits program blot er en forlængelse af, hvad gruppen allerede gør, og det konstateres, at gruppen tidligere har betalt for sårbarheder og fejl i applikationer. Men uanset hvad, så vil udviklingen resultere i mere avanceret ransomware.

Dermed kan det også blot være et smart PR-trick, som får it-sikkerhedsjournalister til at skrive historien og dermed skabe opmærksomhed på gruppens aktiviteter og metoder. Både i det legitime og illegitime sikkerhedsmiljø.

Konsulentfirmaet NCC Group udgav i marts en rapport, der viser, at der fra februar til marts skete en stigning i antallet af kendte ransomware-ofre fra 185 til 283. Baseret på kendte angreb har LockBit 2.0 været den mest produktive med ansvaret for 96 af de 283 angreb, efterfulgt af Conti med 71 angreb, Hive med 26 angreb og BlackCat, alias Alphv, med 23 angreb. Af de kendte ofre er 44 pct. baseret i Nordamerika, efterfulgt af Europa med 38 pct. og Asien med 7 pct.