LockBit ransomwarebuilder lækket online af vred udvikler

Af Eskil Sørensen, 28/09/22

Ransomwaregrupperinger har også insidere.

En ansat/medarbejder/insider/kriminel hos ransomwaregruppen LockBit har angiveligt lækket gruppens seneste version af den kryptering, der bruges til at låse data hos gruppens ofre.

Det skriver Bleeping Computer.

LockBit ransomware-gruppen udgav i juni version 3.0 af deres krypteringsmalware under kodenavnet LockBit Black. LockBit lancerede den under sloganet 'Make Ransomware Great Again', hvor der blev tilføjet nye funktioner, ligesom der blev iværksat et egentligt bug bounty-program og nye afpresningsmetoder. En lancering, der fik en række mediers omtale, herunder også cert.dks.

Imidlertid har lanceringen lidt et tilbageslag, eftersom der tilsyneladende er sket et brud, hvor to personer (eller måske den samme) har lækket LockBit 3.0-builder på Twitter.

Således har en anonym researcher på Twitter oplyst, at hans/hendes team har hacket sig ind på LockBits-servere og fundet en builder til LockBit 3.0. Efter at researcheren delte tweetet om den lækkede LockBit 3.0-builder, oplyste biblioteket VX-Underground, at de var kontaktet af en bruger ved navn 'protonleaks', som også delte en kopi af builderen.

Læs om de tre typer insidere: Den ubevidste, uagtsomme og uvederhæftige medarbejder

Ikke et hack, men et læk

LockBitSupp, som er den offentlige repræsentant for LockBit-operationen, hævder (ifølge VX-Underground), at LockBit ikke blev hacket, men snarere, at en utilfreds udvikler lækkede ransomware-builderen. Lockbit siger også, at lækket ikke ikke påvirker deres daglige RaaS-operationer. 

Den lækkede LockBit 3.0-builder giver nemlig enhver mulighed for hurtigt at bygge de eksekverbare filer, der kræves for at starte deres egne ransomwareaktiviteter, inklusive kryptering, dekryptering og specialiserede værktøjer til at starte dekrypteringen på bestemte måder.

Bleeping Computers journalist har testet den lækkede ransomware-builder og skriver, at det var let for ham at tilpasse den en lokal command and control-server, kryptere filer og derefter dekryptere dem. Danske Peter Kruse fra CSIS oplyser på sin Linkedin-profil, at også CSIS har testet builderen og decryptoren og bekræfter at begge fungerer. Koden er uploadet til Github via dette link:
https://lnkd.in/etFe52aB 

Ikke første gang

Det er ifølge Bleeping Computer ikke første gang, en ransomware-builder eller kildekode er blevet lækket online, hvilket har ført til øgede angreb fra andre trusselsaktører. I juni 2021 blev Babuk-ransomware-builderen lækket, hvilket gav enhver mulighed for at oprette krypteringer og dekrypteringer til Windows og VMware ESXi, som andre trusselsaktører brugte i angreb. I marts 2022, da Conti ransomware-operationen led et databrud, blev deres kildekode også lækket online. Denne kildekode blev hurtigt brugt af hackergruppen NB65 til at lancere ransomware-angreb på Rusland.

Links:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/

https://cert.dk/da/news/2022-06-28/Lockbit-lancerer-Bug-Bounty-program

Keywords: 
lockbit
ransomware