Le constructeur du nouveau chiffreur de LockBit, version 3.0 ou “LockBit Black”, sorti en juin dernier sur le marché criminel à criminel, a été divulgué en ligne, BleepingComputer rapports. Chercheur “3xp0rt” a tweeté tôt ce matin que “Personne inconnue @ali_qushji [which account has been temporarily restricted due to “unusual activity”] a déclaré que son équipe avait piraté les serveurs LockBit et trouvé le constructeur possible de LockBit Black (3.0) Ransomware. Vous pouvez le vérifier sur le référentiel GitHub https://github.com/3xp0rt/LockBit-Black-Builder…”
LockBit dit qu’il s’agissait d’une fuite d’initié et non d’une attaque externe.
Après le tweet de 3xp0rt, VX-Underground a rapporté qu’une personne utilisant le nom-de-hack “protonleaks” a été contactée le 10 septembre par un utilisateur nommé “protonleaks”, qui à ce moment-là leur avait montré une copie du constructeur. On ne sait pas si protonleaks et ali_gushji sont une personne ou deux personnes, ou si leur nom est peut-être vraiment légion. LockBit a contacté VX-Underground pour nier qu’ils avaient été piratés, que la fuite était l’œuvre d’un développeur mécontent mécontent du leadership de LockBit.
L’histoire est intéressante à plusieurs égards, et en particulier dans la façon dont elle révèle la façon dont une entreprise criminelle singe bon nombre des fonctions que l’on trouve dans une entreprise légitime. LockBit Black avait été testé pendant deux mois avant sa sortie, et il arborait de nouveaux modes d’extorsion et des capacités anti-analyse. Sa sortie était également accompagnée d’un programme de primes de bogues. Et le gang ransomware-as-a-service maintient un représentant du support, “LockBitSupp”, qui sert de visage public à la tenue. C’est LockBitSupp qui a contacté VX-Underground pour expliquer que LockBit avait subi une brèche d’initié, pas un piratage externe.
Ce qui a suffisamment bouleversé le ou les fuyards pour motiver la fuite n’est pas clair, mais de toute évidence, LockBit a des problèmes de ressources humaines non résolus.
Kaspersky a un utile Aperçu de LockBit qui comprend l’histoire du groupe et quelques observations sur sa place sur le marché C2C.
Réaction de l’industrie à la fuite.
Un point de vue du secteur de la sécurité a été fourni par John Hammond, chercheur principal en sécurité chez Huntress :
“Il y a des mois, les opérateurs de ransomware LockBit ont publié la version 3.0 de leur ransomware, surnommée” LockBit Black “, célébrant de nouvelles fonctionnalités et fonctionnalités pour chiffrer les fichiers plus rapidement qu’auparavant. Cette fuite du logiciel de construction banalise la possibilité de configurer, personnaliser et finalement générer les exécutables pour non seulement crypter mais décrypter les fichiers.N’importe qui avec cet utilitaire peut démarrer une opération de ransomware à part entière.
“Les groupes de cybercriminels que l’on pourrait considérer comme peu sophistiqués pourraient utiliser ce constructeur pour concevoir leurs propres opérations de ransomware, en faisant un usage intensif des options configurables. Avec un simple commutateur ou bascule, en changeant un “faux” en “vrai” ou vice versa, le chiffreur peut supprimer les journaux d’événements, arrêter des services ou des processus, éventuellement se déplacer latéralement sur le réseau et désactiver les protections antivirus. Si un groupe d’acteurs menaçants n’avait pas créé sa propre souche de ransomware, ce constructeur peut facilement être utilisé avec une note de rançon personnalisée.
“Sur une autre note, la communauté de recherche en sécurité peut analyser et explorer ce logiciel de construction et potentiellement recueillir de nouvelles informations sur les menaces qui pourraient contrecarrer les opérations de ransomware. Au minimum, cette fuite donne aux défenseurs un meilleur aperçu de certains des travaux qui se déroulent au sein du groupe LockBit.
“LockBit a proclamé que cette fuite n’était pas le résultat d’une compromission ou de l’infiltration de ses propres serveurs – elle était due à un programmeur mécontent, un membre employé de l’équipe, qui en avait juste marre et a publié cet outil publiquement. Cet aperçu sur une “menace interne” offre des points intéressants, l’un étant que l’opération de ransomware LockBit est si sophistiquée qu’ils ont ces développeurs sous contrat, et ils peuvent simplement balayer le problème comme “nous l’avons viré”. l’esprit des spectateurs, des individus postant sur des forums se demandant “Est-ce que LockBit a été piraté ?” et clarifiant le problème. Ils protègent leur entreprise, aussi étrange que cela puisse paraître.
“Très franchement, les entreprises n’ont pas grand-chose à faire en réponse directe à cet incident. Le mantra cliché, banal et saturé “restez vigilant” sonne toujours vrai… mais les rançongiciels et la caravane de la cybercriminalité continueront malgré cela. Les entreprises devraient certainement tenir le personnel informé et conscient de cela, ne serait-ce que pour favoriser l’éducation et la sensibilisation quant aux types de menaces qui existent – mais cela n’a pas besoin d’être quelque chose que l’industrie crie et crie, honnêtement.
