LockBit випустила однойменний вірус версії 3.0 у червні 2022 року і разом з цим представила власну здирницьку програму bug bounty, пропонуючи іншим зловмисникам гроші за цікаві вразливості. Цього тижня дослідник, відомий під ніком 3xp0rt, повідомив, що нещодавно зареєстрований користувач Twitter Ali Qushji стверджує, нібито разом зі своєю командою зламав сервери LockBit і виявив там білдер шифрувальника, який і поспішив злити у відкритий доступ.
Цікаво СБУ знешкодила проросійських хакерів, які зламали мільйони акаунтів українців та громадян ЄС
Інша версія подій
- Відомий ІБ-експерт, vx-underground, підтвердив, що ще 10 вересня з ними зв'язався користувач з ніком protonleaks і теж поділився копією того ж білдера.
- Офіційний представник угруповання LockBit, стверджує, що ніякого зламу взагалі не було, а приватний білдер поширює незадоволений керівництвом хак-групи "найманий розробник".
- Видання Bleeping Computer поцікавилося думкою ще кількох фахівців, і всі вони підтвердили, що білдер справжній.
Журналісти попереджають, що незалежно від джерела цього витоку, публікація білдера LockBit 3.0 у мережі, швидше за все, збільшить кількість здирницьких атак. Адже білдер дозволяє злочинцям швидко створювати виконавчі файли, необхідні для запуску власної кампанії (включаючи сам шифрувальник, дешифрувальник, а також спеціалізовані інструменти).
Інструмент, опублікований в мережі, складається з чотирьох файлів: генератора ключів шифрування, самого білдера, файлу конфігурації, що змінюється, і batch-файла для складання всіх файлів. Так, файл config.json можна використовувати для налаштування шифрувальника, у тому числі для зміни записки з вимогою викупу, зміни параметрів конфігурації, перерахування процесів та служб, які слід завершити, і навіть задати керуючий сервер, куди вірус буде відправляти дані. Тобто ніщо не заважає будь-яким хакерам адаптувати шкідник під свою власну інфраструктуру.