Le générateur de ransomware LockBit divulgué en ligne par un “développeur en colère”

En-tête Lockbit 3.0

L’opération de rançongiciel LockBit a subi une brèche, un développeur soi-disant mécontent ayant divulgué le constructeur du dernier chiffreur du gang.

En juin, l’opération de rançongiciel LockBit a publié la version 3.0 de son chiffreurnom de code LockBit Black, après deux mois de test.

La nouvelle version promettait de “rendre le ransomware encore meilleur”, avec de nouvelles fonctionnalités anti-analyse, un programme de primes contre les bogues de ransomware et de nouvelles méthodes d’extorsion.

Cependant, il semble que LockBit ait subi une brèche, deux personnes (ou peut-être la même personne) ayant divulgué le constructeur LockBit 3.0 sur Twitter.

Le constructeur de LockBit 3.0 a fuité sur Twitter

Selon un chercheur en sécurité 3xp0rtUn utilisateur Twitter nouvellement enregistré nommé « Ali Qushji » déclare que son équipe a piraté les serveurs LockBits et a trouvé un constructeur pour le chiffreur de ransomware LockBit 3.0.

tweet 3xp0rt

Après que le chercheur en sécurité 3xp0rt a partagé le tweet sur le constructeur LockBit 3.0 qui a fui, VX-Métro partagé qu’ils ont été contactés le 10 septembre par un utilisateur nommé “protonleaks”, qui a également partagé une copie du constructeur.

Cependant, VX-Underground dit que LockBitSupp, le représentant public de l’opération LockBit, affirme qu’ils n’ont pas été piratés, mais qu’un développeur mécontent a divulgué le constructeur de ransomware privé.

“Nous avons contacté le groupe de rançongiciels Lockbit à ce sujet et avons découvert que ce bailleur de fonds était un programmeur employé par le groupe de rançongiciels Lockbit”, a partagé VX-Underground dans un tweet désormais supprimé.

“Ils étaient en colère contre le leadership de Lockbit et ont divulgué le constructeur.”

BleepingComputer a parlé à plusieurs chercheurs en sécurité qui ont confirmé que le constructeur est légitime.

Builder permet à n’importe qui de créer un gang de rançongiciels

Indépendamment de la façon dont le constructeur de ransomware privé a été divulgué, il s’agit d’un coup dur non seulement pour l’opération de ransomware LockBit, mais aussi pour l’entreprise, qui verra une augmentation des acteurs de la menace l’utiliser pour mener leurs propres attaques.

Le constructeur LockBit 3.0 divulgué permet à quiconque de créer rapidement les fichiers exécutables nécessaires pour démarrer sa propre opération, y compris un crypteur, un décrypteur et des outils spécialisés pour lancer le décrypteur de certaines manières.

Le constructeur se compose de quatre fichiers, un générateur de clé de chiffrement, un constructeur, un fichier de configuration personnalisable et un fichier batch pour construire tous les fichiers.

Constructeur LockBit 3.0
Fichiers de construction LockBit 3.0
La source: BleepingComputer

Le « config.json » fourni peut être utilisé pour personnaliser un chiffreur, notamment en modifiant la note de rançon, en modifiant les options de configuration, en décidant des processus et des services à terminer, et même en spécifiant le serveur de commande et de contrôle auquel le chiffreur enverra des données.

En modifiant le fichier de configuration, chaque acteur de la menace peut l’adapter à ses propres besoins et modifier la note de rançon créée pour la lier à sa propre infrastructure.

Fichier de configuration LockBit 3.0
Fichier de configuration LockBit 3.0
La source: BleepingComputer

Lorsque le fichier de commandes est exécuté, le constructeur créera tous les fichiers nécessaires pour lancer une campagne de ransomware réussie, comme indiqué ci-dessous.

Exécutables de ransomware créés par le constructeur LockBit 3.0
Exécutables de ransomware créés par le constructeur LockBit 3.0
La source: BleepingComputer

BleepingComputer a testé le générateur de ransomware divulgué et a pu facilement le modifier pour utiliser notre propre serveur de commande et de contrôle local, chiffrer nos fichiers, puis les déchiffrer comme indiqué ci-dessous.

Démonstration de la version du décrypteur LockBit 3.0
Démonstration du décrypteur LockBit 3.0 intégré
La source: BleepingComputer

Ce constructeur n’est pas la première fois qu’un constructeur de ransomware ou un code source est divulgué en ligne, ce qui entraîne davantage d’attaques par d’autres acteurs de la menace lançant leurs propres opérations.

En juin 2021, le Le générateur de rançongiciel Babuk a été divulguépermettant à quiconque de créer des chiffreurs et des décrypteurs pour Windows et VMware ESXi que d’autres acteurs de la menace utilisent dans les attaques.

En mars 2022, lorsque le L’opération de rançongiciel Conti a subi une violation de donnéesleur le code source a été divulgué en ligne aussi. Ce code source a été rapidement utilisé par le groupe de piratage NB65 pour lancer des attaques de rançongiciels contre la Russie.

Leave a Reply

Your email address will not be published.