La più recente versione dello strumento di crittografia del gruppo ransomware LockBit è stata oggetto di un leak su Twitter da due account diversi, noti come @ali_qushji (attualmente limitato) e @protonleaks1.
Tramite la piattaforma social in questione, è stato divulgato il codice di LockBit 3.0, che secondo il gruppo responsabile, introduce alcune novità, come un programma di Bug Bounty (viene assegnato un premio in denaro a chi individua bug e vulnerabilità nelle build del software), il supporto dei pagamenti tramite Zcash e nuove tattiche di estorsione. Il builder di LockBit 3.0, diffuso tramite Sendspace, è contenuto in un file 7z protetto da password (la stessa viene indicata nei tweet del leak) che include vari file, fra cui un keygen e un file di configurazione in formato json.
Cannot get X.com oEmbed
L’autore del leak, Ali Qushji, sostiene di aver violato i server del gruppo ransomware e di aver rubato il programma di crittografia. A quanto pare, il gesto sarebbe stato compiuto da uno sviluppatore che lavorava per LockBit, che ha così voluto vendicarsi nei confronti della leadership del gruppo, anche se non si conoscono gli effettivi motivi del suo malcontento. Una delle implicazioni di questo leak è che adesso, qualunque malintenzionato con le giuste competenze potrà creare la propria versione del ransomware, personalizzando il file di configurazione incluso nel pacchetto.
LockBit è noto per la sua efficacia anche contro i sistemi Linux, tanto che il gruppo Evil Corp ha deciso di adottarlo, poco tempo fa. Il ransomware sarebbe stato utilizzato anche per un recente attacco all’Agenzia delle Entrate, sebbene ci siano diversi punti oscuri. Infine, sembra che il gruppo LockBit abbia colpito anche Mandiant, azienda di sicurezza che fa capo a Google, sebbene Mandiant stessa abbia negato l’incidente.