Η επιχείρηση του γνωστού LockBit ransomware έχει υποστεί μια σημαντική παραβίαση, καθώς κάποιος δυσαρεστημένος προγραμματιστής διέρρευσε το πρόγραμμα δημιουργίας (builder) του νεότερου encryptor της συμμορίας, LockBit 3.0.
Τον Ιούνιο, η συμμορία πίσω από το LockBit ransomware κυκλοφόρησε την έκδοση 3.0 του encryptor της, με την κωδική ονομασία LockBit Black.
Οι hackers δημιούργησαν αυτή τη νέα έκδοση προσθέτοντας καινούριες δυνατότητες που επιτρέπουν στο ransomware να αποφεύγει την ανάλυση, νέες μεθόδους εκβιασμού και ένα πρόγραμμα ransomware bug bounty.
Δείτε επίσης: Optus hacked: Παραβίαση δεδομένων εκατομμυρίων Αυστραλών
Ωστόσο, φαίνεται ότι το LockBit έχει υποστεί παραβίαση, με ένα ή δύο άτομα (δεν είναι ξεκάθαρο) να διαρρέουν το LockBit 3.0 builder στο διαδίκτυο.
LockBit ransomware: Διέρρευσε στο Twitter το LockBit 3.0 builder
Σύμφωνα με τον ερευνητή ασφαλείας 3xp0rt, ένας πρόσφατα εγγεγραμμένος χρήστης του Twitter με το όνομα “Ali Qushji” δηλώνει ότι η ομάδα του χάκαρε τους διακομιστές LockBits και βρήκε ένα builder για το LockBit 3.0 ransomware encryptor.
Αφού ο ερευνητής 3xp0rt μοιράστηκε το tweet σχετικά με το LockBit 3.0 builder που διέρρευσε, το VX-Underground δήλωσε ότι ένας χρήστης με το όνομα “protonleaks“, ήρθε σε επαφή μαζί τους στις 10 Σεπτεμβρίου και μοιράστηκε και εκείνος ένα αντίγραφο του builder. Ο χρήστης που έκανε τη διαρροή μπορεί να είναι ο ίδιος και στις δύο περιπτώσεις, αλλά μπορεί να χρησιμοποιεί διαφορετικά ονόματα. Δεν γνωρίζουμε τι ισχύει, προς το παρόν.
Ωστόσο, το VX-Underground λέει ότι ο LockBitSupp, ο δημόσιος εκπρόσωπος της ransomware συμμορίας LockBit, ισχυρίζεται ότι δεν υπήρξε καμιά παραβίαση, αλλά μάλλον ένας δυσαρεστημένος προγραμματιστής διέρρευσε το ιδιωτικό ransomware builder.
Δείτε επίσης: Predator παρακολουθήσεις: Έτσι στόχευσαν πολιτικούς, πολίτες και εταιρείες!
“Επικοινωνήσαμε με την ομάδα ransomware Lockbit σχετικά με αυτό και ανακαλύψαμε ότι αυτός που έκανε τη διαρροή ήταν προγραμματιστής που απασχολούνταν από την ομάδα ransomware Lockbit“, μοιράστηκε το VX-Underground σε ένα tweet που έχει πλέον διαγραφεί.
“Ήταν αναστατωμένοι με την ηγεσία του Lockbit και διέρρευσαν το ransomware builder“.
Σύμφωνα με το BleepingComputer, πολλοί ερευνητές ασφαλείας επιβεβαίωσαν ότι το builder ήταν αυθεντικό.
Τι σημαίνει η διαρροή του ransomware builder;
Αυτή η διαρροή δεν έχει αρνητικές επιπτώσεις μόνο στη ransomware συμμορία LockBit. Έχει σοβαρές συνέπειες στην ασφάλεια οργανισμών και επιχειρήσεων, αφού πολλοί εγκληματίες του κυβερνοχώρου θα μπορούσαν να χρησιμοποιήσουν το builder για να πραγματοποιήσουν τις δικές τους επιθέσεις.
Το LockBit 3.0 builder, που διέρρευσε, επιτρέπει σε οποιονδήποτε να δημιουργήσει γρήγορα τα εκτελέσιμα που απαιτούνται για να ξεκινήσει τη δική του κακόβουλη επιχείρηση, συμπεριλαμβανομένου ενός encryptor, ενός decryptor και εξειδικευμένων εργαλείων.
Το builder αποτελείται από τέσσερα αρχεία: encryption key generator, builder, ένα τροποποιήσιμο configuration file και ένα batch file για τη δημιουργία όλων των αρχείων.
Δείτε επίσης: Windows 11: Παρέχουν καλύτερη προστασία από επιθέσεις SMB brute-force
Το συμπεριλαμβανόμενο ‘config.json‘ μπορεί να χρησιμοποιηθεί για την προσαρμογή ενός encryptor, συμπεριλαμβανομένης της τροποποίησης του σημειώματος λύτρων, της αλλαγής των επιλογών διαμόρφωσης, της απόφασης για τον τερματισμό των διαδικασιών και των υπηρεσιών κλπ.
Τροποποιώντας το configuration file, οποιοσδήποτε εγκληματίας του κυβερνοχώρου μπορεί να το προσαρμόσει στις δικές του ανάγκες.
Δεν είναι η πρώτη φορά που κυκλοφορεί στο διαδίκτυο ένα ransomware builder ή source code ενός ransomware. Τον Ιούνιο του 2021, διέρρευσε το Babuk ransomware builder, επιτρέποντας σε οποιονδήποτε να δημιουργήσει encryptors και decryptors για Windows και VMware ESXi, τα οποία άλλοι παράγοντες απειλών χρησιμοποιούσαν σε επιθέσεις.
Τον Μάρτιο του 2022, όταν η επιχείρηση ransomware Conti υπέστη παραβίαση δεδομένων, ο source code τους διέρρευσε επίσης στο διαδίκτυο και χρησιμοποιήθηκε γρήγορα από την hacking ομάδα NB65 για επιθέσεις ransomware στη Ρωσία.
Πηγή: www.bleepingcomputer.com