В мережі опинився білдер одного з найвідоміших вірусів LockBit: його злив один з розробників

23 вересня 2022, 17:29
Читать новость на русском

Джерело:

Bleeping Computer

Спеціалісти з інформаційної безпеки повідомляють, що білдер відомого шифрувальника LockBit опубліковано у відкритому доступі. Є кілька версій хто й чому це зробив. Коментар дало навіть саме хакерське угруповання.

LockBit випустила однойменний вірус версії 3.0 у червні 2022 року і разом з цим представила власну здирницьку програму bug bounty, пропонуючи іншим зловмисникам гроші за цікаві вразливості. Цього тижня дослідник, відомий під ніком 3xp0rt, повідомив, що нещодавно зареєстрований користувач Twitter Ali Qushji стверджує, нібито разом зі своєю командою зламав сервери LockBit і виявив там білдер шифрувальника, який і поспішив злити у відкритий доступ.

Цікаво СБУ знешкодила проросійських хакерів, які зламали мільйони акаунтів українців та громадян ЄС

Інша версія подій

Що ж таке білдер? Це сукупність файлів, які є початковими (основою, шаблоном) при розробці програми, в цьому випадку віруса-шифрувальника. Білдер визначає спосіб створення складного об'єкта та всі етапи, необхідні для створення кінцевого продукту.
  • Відомий ІБ-експерт, vx-underground, підтвердив, що ще 10 вересня з ними зв'язався користувач з ніком protonleaks і теж поділився копією того ж білдера.
  • Офіційний представник угруповання LockBit, стверджує, що ніякого зламу взагалі не було, а приватний білдер поширює незадоволений керівництвом хак-групи "найманий розробник".
  • Видання Bleeping Computer поцікавилося думкою ще кількох фахівців, і всі вони підтвердили, що білдер справжній.

Журналісти попереджають, що незалежно від джерела цього витоку, публікація білдера LockBit 3.0 у мережі, швидше за все, збільшить кількість здирницьких атак. Адже білдер дозволяє злочинцям швидко створювати виконавчі файли, необхідні для запуску власної кампанії (включаючи сам шифрувальник, дешифрувальник, а також спеціалізовані інструменти).

Інструмент, опублікований в мережі, складається з чотирьох файлів: генератора ключів шифрування, самого білдера, файлу конфігурації, що змінюється, і batch-файла для складання всіх файлів. Так, файл config.json можна використовувати для налаштування шифрувальника, у тому числі для зміни записки з вимогою викупу, зміни параметрів конфігурації, перерахування процесів та служб, які слід завершити, і навіть задати керуючий сервер, куди вірус буде відправляти дані. Тобто ніщо не заважає будь-яким хакерам адаптувати шкідник під свою власну інфраструктуру.