Gdyby cyberprzestępczość miała swój GitHub, ransomware Nitrogen i LukaLocker byłyby jej popularnymi forkami. W coraz większej liczbie ataków nie chodzi już o zaawansowane techniki, lecz o skuteczne wykorzystanie dostępnych komponentów. Recykling złośliwego kodu stał się praktyką powszechną i niepokojąco efektywną. W rezultacie organizacje IT stają dziś przed wyzwaniem, które nie wynika z pojawiania się nowych zagrożeń, ale z odświeżonych wersji dobrze znanych szkodników.

Stary kod, nowe opakowanie

W 2022 roku kod źródłowy niegdyś wpływowego ransomware CONTI trafił do sieci po wewnętrznym rozłamie grupy, której część członków sprzeciwiła się poparciu dla rosyjskiej inwazji na Ukrainę. W efekcie światło dzienne ujrzał pełen zestaw narzędzi przestępczych, zawierający m.in. logikę szyfrowania plików, omijania zabezpieczeń i komunikacji z ofiarą.

Dwa lata później analitycy z niemieckiej firmy SECUINFRA wykryli nowe warianty ransomware – LukaLocker i Nitrogen – które wykorzystywały ten sam kod. Choć ich nazwy, taktyki i detale techniczne nieco się różniły, analiza wykazała wyraźne podobieństwa: identyczne schematy szyfrowania, struktura kodu, mechanizmy komunikacji z ofiarą oraz sposób zaciemniania funkcji.

To pokazuje, jak łatwo jest dziś zbudować nowe zagrożenie przy minimalnym nakładzie pracy. Wystarczy gotowy kod, kilka kosmetycznych zmian i kanał dystrybucji. Taka „inżynieria niskiego wysiłku” znacząco obniża barierę wejścia do świata przestępczego.

Cyberprzestępczość jako inżynieria modułowa

W świecie IT mówimy dziś o komponentyzacji, mikroserwisach i ponownym wykorzystaniu kodu. W świecie cyberprzestępczości dzieje się dokładnie to samo – z tą różnicą, że celem nie jest innowacja, lecz efektywność ataku.

LukaLocker i Nitrogen są niemal książkowym przykładem. W obu przypadkach rdzeń kodu opiera się na tym samym silniku ransomware. Zmieniono detale: nazwę, niektóre funkcje, sposób komunikacji z ofiarą. Ale kluczowe elementy – szyfrowanie RSA lub ECC, mutexy zapobiegające podwójnemu szyfrowaniu, ukrywanie importów za pomocą kodowania Base64 – pozostały bez zmian.

To nie przypadek. Recykling kodu pozwala skrócić czas potrzebny na przygotowanie złośliwego oprogramowania, zredukować ryzyko błędów i błyskawicznie wprowadzić „produkt” na rynek przestępczy. Można go łatwo dostosować do potrzeb konkretnej kampanii – zmieniając kanały komunikacji (np. z Tox na Telegram), techniki wyłudzania okupu (np. telefoniczne groźby) czy sposoby publikacji danych (np. dark webowe blogi).

Reaktywność to za mało

Dla zespołów bezpieczeństwa i CISO oznacza to zmianę reguł gry. Tradycyjne podejście, oparte na wykrywaniu nowych sygnatur, staje się coraz mniej skuteczne. Skoro nowe warianty opierają się na dobrze znanych mechanizmach, trudno zaklasyfikować je jako „nowe zagrożenie” w klasycznych systemach detekcji.

To wyzwanie wymaga przejścia od reaktywnego do proaktywnego modelu obrony. Zamiast polegać na wykrywaniu nazw malware czy ich hashy, organizacje powinny skupić się na analizie zachowań – np. nietypowych operacjach na plikach, uruchamianiu narzędzi typu `bcdedit.exe`, tworzeniu mutexów czy wzorcach szyfrowania.

Ważną rolę odgrywa również threat intelligence – nie tylko w czasie rzeczywistym, ale także w kontekście analizy kodu i mapowania podobieństw między kolejnymi wariantami zagrożeń. Dzięki temu możliwe jest rozpoznanie znanych wzorców w nieznanych formach.

Crime-as-a-Service: szybka ścieżka do przestępstwa

Zjawisko recyklingu kodu nie istnieje w próżni. Jest częścią szerszego trendu, który przypomina modele znane z rynku SaaS. Crime-as-a-Service (CaaS) i Ransomware-as-a-Service (RaaS) demokratyzują dostęp do zaawansowanych narzędzi cyberprzestępczych. Twórcy kodu udostępniają go odpłatnie lub bezpłatnie, a inni przestępcy – często bez głębokich kompetencji technicznych – adaptują go do własnych celów.

W przypadku LukaLockera pojawiły się nawet elementy „obsługi klienta” – zespół call center kontaktujący się z ofiarami, aby wzmocnić presję na zapłatę okupu. To pokazuje, że granica między cyberatakiem a zorganizowaną operacją biznesową zaciera się coraz bardziej.

Jak się bronić przed „starym” zagrożeniem?

Choć LukaLocker i Nitrogen nie wprowadzają rewolucji technicznej, są równie niebezpieczne jak ich pierwowzór. To właśnie ich „przeciętność” czyni je trudniejszymi do wykrycia. W odpowiedzi na tę nową falę zagrożeń, eksperci ds. bezpieczeństwa wskazują na kilka kluczowych działań:

• Wdrożenie usług MDR (Managed Detection & Response): Stały monitoring i aktywne reagowanie pozwalają wyprzedzać ataki opierające się na dobrze znanych wzorcach.
• Monitorowanie dark webu: Analiza wycieków danych uwierzytelniających i aktywności grup przestępczych może ostrzec przed potencjalnym celem ataku
• Ocena zagrożeń i testy IR: Regularna analiza środowiska IT pod kątem śladów znanych technik (np. z CONTI) oraz testowanie planów reagowania na incydenty.
• Szkolenia i kultura bezpieczeństwa: Uświadomienie pracownikom, że zagrożenia mogą wyglądać znajomo, ale mieć nowe konsekwencje.

Kopiowanie kodu stało się naturalną częścią rozwoju oprogramowania. Niestety, ten sam mechanizm działa w cyberprzestępczości. LukaLocker i Nitrogen pokazują, że nawet nieoryginalny kod może być śmiertelnie skuteczny, jeśli zostanie odpowiednio wykorzystany. Dla firm oznacza to konieczność porzucenia iluzji, że jedynie „nowe” zagrożenia są warte uwagi. Przestępcy już dawno zrozumieli, że nie trzeba być innowacyjnym, by być skutecznym. Teraz kolej na organizacje, by przestawiły swój model bezpieczeństwa na śledzenie i neutralizowanie dobrze znanych, ale wciąż groźnych mechanizmów działania – zanim zostaną wykorzystane ponownie.