El generador de ransomware LockBit se filtró en línea por un “desarrollador enojado”

La operación del ransomware LockBit sufrió una brecha, con un desarrollador supuestamente descontento que filtró el generador del cifrador más nuevo de la banda.

En junio, la operación de ransomware LockBit  lanzó la versión 3.0 de su cifrador , cuyo nombre en código es LockBit Black, después de probarlo durante dos meses.

La nueva versión prometía 'Hacer que el ransomware volviera a ser grandioso', agregando nuevas características contra el análisis, un programa de recompensas por errores de ransomware y nuevos métodos de extorsión.

Sin embargo, parece que LockBit ha sufrido una brecha, con dos personas (o tal vez la misma persona) filtrando el constructor LockBit 3.0 en Twitter.

El constructor LockBit 3.0 se filtró en Twitter
Según el investigador de seguridad 3xp0rt , un usuario de Twitter recién registrado llamado 'Ali Qushji' afirma que su equipo pirateó los servidores de LockBits y encontró un generador para el encriptador de ransomware LockBit 3.0.

tw

Después de que el investigador de seguridad 3xp0rt compartiera el tweet sobre el constructor LockBit 3.0 filtrado,  VX-Underground  compartió que un usuario llamado 'protonleaks' los contactó el 10 de septiembre, quien también compartió una copia del constructor.

Sin embargo, VX-Underground dice que LockBitSupp, el representante público de la operación LockBit, afirma que no fueron pirateados, sino que un desarrollador descontento filtró el generador de ransomware privado.

"Nos comunicamos con el grupo de ransomware Lockbit con respecto a esto y descubrimos que este filtrador era un programador empleado por el grupo de ransomware Lockbit", compartió VX-Underground en un tweet ahora eliminado.

"Estaban molestos con el liderazgo de Lockbit y filtraron al constructor".

BleepingComputer ha hablado con varios investigadores de seguridad que han confirmado que el constructor es legítimo.

Builder permite que cualquiera inicie una banda de ransomware

Independientemente de cómo se filtró el generador de ransomware privado, esto no solo es un duro golpe para la operación del ransomware LockBit, sino también para la empresa, que verá un aumento en los actores de amenazas que lo utilizan para lanzar sus propios ataques.

El constructor filtrado de LockBit 3.0 permite que cualquier persona construya rápidamente los ejecutables necesarios para iniciar su propia operación, incluido un cifrador, un descifrador y herramientas especializadas para iniciar el descifrador de ciertas maneras.

El constructor consta de cuatro archivos, un generador de claves de cifrado, un constructor, un archivo de configuración modificable y un archivo por lotes para crear todos los archivos.

builder

El 'config.json' incluido se puede usar para personalizar un encriptador, lo que incluye modificar la nota de rescate, cambiar las opciones de configuración, decidir qué procesos y servicios terminar e incluso especificar el servidor de comando y control al que el encriptador enviará los datos.

Al modificar el archivo de configuración, cualquier actor de amenazas puede personalizarlo según sus propias necesidades y modificar la nota de rescate creada para vincularla a su propia infraestructura.

config

Cuando se ejecuta el archivo por lotes, el constructor creará todos los archivos necesarios para lanzar una campaña de ransomware exitosa, como se muestra a continuación.

built-files

Se probó el generador de ransomware filtrado y pudo personalizarlo fácilmente para usar nuestro propio servidor de comando y control local, cifrar nuestros archivos y luego descifrarlos, como se muestra a continuación.

lockbit-3-0-ice

Este generador no es la primera vez que se filtra en línea un generador de ransomware o el código fuente, lo que genera un aumento de los ataques de otros actores de amenazas que lanzaron sus propias operaciones.

En junio de 2021,  se filtró el generador de ransomware Babuk , que permite a cualquier persona crear encriptadores y desencriptadores para Windows y VMware ESXi, que otros actores de amenazas utilizaron en los ataques.

En marzo de 2022, cuando la  operación del ransomware Conti sufrió una filtración de datos , su  código fuente  también se filtró en línea. Este código fuente fue  utilizado rápidamente por el grupo de piratería NB65  para lanzar ataques de ransomware en Rusia.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies