Quelqu’un a divulgué la dernière version du crypteur de LockBit sur Internet, et bien qu’au début cela puisse ressembler à une violation de données et à un vol, le rançongiciel le représentant public de l’opérateur prétend que c’est en fait le travail d’un développeur mécontent.
Un tout nouveau compte Twitter nommé Ali Qushji a affirmé que son équipe avait piraté les serveurs de LockBit et trouvé un constructeur pour le chiffreur de ransomware LockBit 3.0. Suite au tweet, la bibliothèque de code source du malware VX-Underground est intervenue, affirmant avoir été contactée par un utilisateur nommé « protonleaks » le 10 septembre, avec le même contenu.
La même source a également déclaré que LockBitSupp, le représentant public de l’opération LockBit, a confirmé qu’il ne s’agissait pas du travail d’un groupe de piratage, mais plutôt d’un développeur mécontent, insatisfait du leadership de l’opérateur du ransomware.
Bouleversé par le leadership
“Nous avons contacté le groupe de rançongiciels Lockbit à ce sujet et avons découvert que cette fuite était un programmeur employé par le groupe de rançongiciels Lockbit”, a tweeté VX-Underground (et a ensuite supprimé le tweet). “Ils étaient contrariés par le leadership de Lockbit et ont divulgué le constructeur.”
BipOrdinateur a depuis confirmé l’authenticité de la fuite, déclarant que c’est le constructeur du chiffreur LockBit 3.0, nommé LockBit Black, qui a été divulgué. La version, qui est en phase de test depuis deux mois jusqu’en juin, est livrée avec un certain nombre de nouvelles fonctionnalités, notamment l’anti-analyse, un programme de primes de bogues contre les rançongiciels et de nouvelles méthodes d’extorsion.
La fuite du constructeur ne signifie pas que quiconque est infecté par LockBit peut désormais facilement décrypter les données piratées. Au lieu de cela, cela signifie que d’autres acteurs de la menace peuvent facilement compiler leurs propres versions, en modifiant diverses options de configuration, la note de rançon et d’autres détails. Bien que cela puisse nuire dans une certaine mesure aux opérations de LockBit, cela signifie également que les organisations pourraient bientôt être confrontées à un nombre encore plus important de souches de ransomwares.
Ce n’est pas la première fois que le code source d’un chiffreur fuit en ligne. Au début de l’invasion de l’Ukraine par la Russie, un pirate informatique a divulgué le code source de Conti, un groupe de rançongiciels qui soutenait publiquement l’invasion à l’époque.
Passant par: BipOrdinateur (s’ouvre dans un nouvel onglet)