Menu

LockBit 3.0 vittima di data breach, trapelato il codice del builder: ecco le implicazioni

LockBit ha subito un furto di dati causato, a quanto pare, dal malcontento di uno dei programmatori. L’operazione ha reso disponibile gli eseguibili del software malevolo che ora potrebbero essere sfruttati da altri criminali per creare nuovi ransomware. Ecco la nostra analisi

Il gruppo criminale LockBit è stato interessato da un furto di dati che ha fatto trapelare online materiale interno utile all’analisi sui propri strumenti di attacco. È infatti trapelato su GitHub, a seguito del data breach, un eseguibile del builder, il software completo di crittografia e decrittografia utilizzato dal gruppo ransomware.

LockBit ha subito un attacco dall’interno

A giugno il gruppo criminale informatico, considerato tra i più prolifici e organizzati al mondo, ha aggiornato la propria infrastruttura alla versione 3.0, rimodulando una serie di nuove funzionalità tra cui BugBounty, nuova interfaccia Web e nuovo software malware.

Le implicazioni del leak a LockBit

Questa operazione sicuramente non fermerà le attività del gruppo criminale che, come sostiene il portavoce stesso, fa solo da ispirazione per cercare nuovi collaboratori e programmatori capaci, di modo da aggiornare il proprio software con una nuova versione del ransomware.

Ha però conseguenze più gravi, perché ora il costruttore LockBit 3.0 è a disposizione di qualsiasi altro cyber criminale che, come hanno scoperto i ricercatori, potrebbe sfruttarlo per avviare le proprie operazioni criminali creando ad esempio un encryptor, un decryptor e gli strumenti specializzati per eseguirlo.

In particolare, il costruttore è costituito da quattro file, un generatore di chiavi di crittografia, un builder, un file di configurazione modificabile e un file batch (“.bat”) per creare tutti i file (maker).

L’utilizzo che si può fare di questo materiale, come detto, è unicamente quello di intraprendere nuove operazioni criminali ransomware, con un software già pronto all’uso. Non è utilizzabile, al momento, per decriptare qualsiasi file vittima di LockBit in quanto sprovvisto di chiavi crittografiche che, a detta del gruppo stesso, sono ben custodite nei propri server.

È invece utile a generarne di nuove, su altro server, da utilizzare quindi ex novo per criptare e poi eventualmente decriptare altri file vittima di attacco.

Tra questi strumenti, il decryptor è stato oggetto di analisi da parte dell’italiana Swascan che ne ha diffuso un recente report dettagliato.

La cyber gang non sembra quindi particolarmente preoccupata dall’accaduto, anche se è doveroso notare come da ormai diverse ore il sito Web del gruppo LockBit 3.0 non risulta accessibile, in tutti i suoi mirrors. Presumibilmente oggetto di manutenzione in vista del nuovo upgrade infrastrutturale. Dovremo aspettarci dunque un LockBit 4.0 nel breve periodo?

A farne davvero le spese saranno invece, come sempre, le vittime finali, in quanto ci sarà fisiologicamente un aumento degli attacchi ransomware da parte di gruppi criminali diversi (anche nuovi) che, a partire da questo materiale, personalizzeranno i loro strumenti di attacco, sostanzialmente senza spesa alcuna.

FONTE: cybersecurity360

Related Posts