LockBit 勒索软件操作遭到破坏,据称心怀不满的开发人员泄露了该团伙最新加密器的构建器。
6 月,LockBit 勒索软件操作 发布了他们的加密器 3.0 版,代号为 LockBit Black,经过两个月的测试。
新版本承诺“让勒索软件再次伟大”,添加新的反分析功能、勒索软件漏洞赏金计划和新的勒索方法。
然而,LockBit 似乎遭到了破坏,有两个人(或者可能是同一个人)在 Twitter 上泄露了 LockBit 3.0 构建器。
LockBit 3.0 构建器在 Twitter 上泄露
据安全研究人员 3xp0rt 称,一位名为“Ali Qushji”的新注册 Twitter 用户表示,他们的团队入侵了 LockBits 服务器并找到了 LockBit 3.0 勒索软件加密器的构建器。
在安全研究员 3xp0rt 分享了有关泄露的 LockBit 3.0 构建器的推文后, VX-Underground 分享说,9 月 10 日,一位名为“protonleaks”的用户联系了他们,该用户还分享了该构建器的副本。
然而,VX-Underground 表示,LockBit 操作的公共代表 LockBitSupp 声称他们没有被黑客入侵,而是一个心怀不满的开发人员泄露了私人勒索软件制造商。
“我们就此联系了 Lockbit 勒索软件组织,发现这个泄密者是 Lockbit 勒索软件组织雇用的程序员,”VX-Underground 在现已删除的推文中分享道。
“他们对 Lockbit 的领导层感到不满,并泄露了建造者。”
BleepingComputer 已与多名安全研究人员进行了交谈,他们已确认该构建器是合法的。
Builder 让任何人都可以创建勒索软件团伙
不管私人勒索软件制造商是如何被泄露的,这不仅对 LockBit 勒索软件操作造成了严重打击,而且对企业也是如此,这将看到越来越多的威胁参与者使用它来发起自己的攻击。
泄露的 LockBit 3.0 构建器允许任何人快速构建启动自己的操作所需的可执行文件,包括加密器、解密器和以特定方式启动解密器的专用工具。
该构建器由四个文件组成,一个加密密钥生成器、一个构建器、一个可修改的配置文件和一个用于构建所有文件的批处理文件。
来源:ZZQIDC
包含的“config.json”可用于自定义加密器,包括修改赎金记录、更改配置选项、决定终止哪些进程和服务,甚至指定加密器将发送数据的命令和控制服务器。
通过修改配置文件,任何威胁参与者都可以根据自己的需要对其进行自定义,并修改创建的赎金记录以链接到他们自己的基础设施。
来源:ZZQIDC
执行批处理文件时,构建器将创建成功启动勒索软件活动所需的所有文件,如下所示。
ZZQIDC对泄露的勒索软件生成器进行了测试,并且能够轻松自定义它以使用我们自己的本地命令和控制服务器,加密我们的文件,然后解密它们,如下所示。
来源:BleepingComputer
这个构建器并不是第一次在网上泄露勒索软件构建器或源代码,导致其他发起自己操作的威胁参与者的攻击增加。
2021 年 6 月, Babuk 勒索软件构建器被泄露,允许任何人为 Windows 和 VMware ESXi 创建加密器和解密器,其他威胁参与者在攻击中使用这些加密器和解密器。
2022 年 3 月,当 Conti 勒索软件操作遭遇数据泄露时,其 源代码也被在线泄露 。该源代码 很快被 NB65 黑客组织 用来对俄罗斯发起勒索软件攻击。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » LockBit勒索软件制造商被“愤怒的开发者”在线泄露
