Quelqu'un a divulgué la dernière version du chiffreur de LockBit en ligne, et même si cela peut sembler être une fuite et un vol de données au premier abord, le représentant public de l'opérateur de ransomware affirme qu'il s'agit en fait du travail d'un développeur mécontent.
Un nouveau compte Twitter nommé Ali Qushji a affirmé que son équipe avait piraté les serveurs de LockBit et trouvé un générateur pour le chiffreur de ransomware LockBit 3.0. Suite au tweet, la bibliothèque de code source du malware VX-Underground est intervenue, affirmant qu'un utilisateur nommé "protonleaks" l'avait contacté le 10 septembre avec le même contenu.
La même source a également déclaré que LockBitSupp, le représentant public de l'opération LockBit, a confirmé qu'il ne s'agissait pas du travail d'un groupe de pirates informatiques, mais d'un développeur mécontent de la direction de la société d'exploitation du ransomware.
Ébranlé par le leadership
"Nous avons contacté le groupe de rançongiciels Lockbit à ce sujet et avons découvert que cette fuite était un programmeur employé par le groupe de rançongiciels Lockbit", a tweeté VX-Underground (et a ensuite supprimé le tweet). "Ils étaient contrariés par le leadership de Lockbit et ont révélé le constructeur."
BleepingComputer a depuis confirmé l'authenticité de la fuite, affirmant que c'était le créateur du chiffrement LockBit 3.0, nommé LockBit Black, qui avait été divulgué. La version, qui a été testée pendant deux mois jusqu'en juin, comprend un certain nombre de nouvelles fonctionnalités, notamment l'anti-analyse, un programme de primes de bogues contre les rançongiciels et de nouvelles méthodes d'extorsion.
La fuite du fabricant ne signifie pas que toute personne infectée par LockBit peut désormais facilement décrypter les données piratées. Au lieu de cela, cela signifie que d'autres acteurs de la menace peuvent facilement compiler leurs propres versions, en modifiant diverses options de configuration, des notes de rançon et d'autres détails. Bien que cela puisse nuire dans une certaine mesure aux opérations de LockBit, cela signifie également que les organisations seront bientôt confrontées à un nombre encore plus important de souches de ransomwares.
Ce n'est pas la première fois que le code source d'un crypto-monnaie fait l'objet d'une fuite en ligne. Au début de l'invasion russe de l'Ukraine, un pirate informatique a divulgué le code source de Conti, un groupe de rançongiciels qui soutenait publiquement l'invasion à l'époque.
Via : BleepingComputer (Ouvre dans un nouvel onglet)