LockBit выпустила одноименный вирус версии 3.0 в июне 2022 года и вместе с этим представила собственную вымогательскую программу bug bounty, предлагая другим злоумышленникам деньги за интересные уязвимости. На этой неделе исследователь, известный под ником 3xp0rt, сообщил, что недавно зарегистрированный пользователь Twitter Ali Qushji утверждает, что вместе со своей командой взломал серверы LockBit и обнаружил там билдер шифровальщика, который и поспешил слить в открытый доступ.

Интересно СБУ обезвредила пророссийских хакеров, взломавших миллионы аккаунтов украинцев и граждан ЕС

Другая версия событий

  • Известный ИБ-эксперт, vx-underground, подтвердил, что еще 10 сентября с ними связался пользователь с ником protonleaks и тоже поделился копией того же билдера.
  • Официальный представитель группировки LockBit, утверждает, что никакого вззлома вообще не было, а частный билдер распространяет недовольный руководством хак-группы "наемный разработчик".
  • Издание Bleeping Computer поинтересовалось мнением еще нескольких специалистов, и все они подтвердили, что билдер настоящий.

Журналисты предупреждают, что независимо от источника этой утечки, публикация билдера LockBit 3.0 в сети, скорее всего, увеличит количество вымогательских атак. Ведь биллдер позволяет преступникам быстро создавать исполнительные файлы, необходимые для запуска собственной кампании (включая сам шифровальщик, дешифровщик, а также специализированные инструменты).

Инструмент, опубликованный в сети, состоит из четырех файлов: генератора ключей шифрования, самого билдера, изменяющегося файла конфигурации и batch-файла для сборки всех файлов. Так, файл config.json можно использовать для настройки шифровщика, в том числе для изменения записки с требованием выкупа, изменения параметров конфигурации, перечисления процессов и служб, которые следует завершить, а также задать управляющий сервер, на который вирус будет отправлять данные. То есть ничто не мешает каким-либо хакерам адаптировать вредителя под свою собственную инфраструктуру.