Gerador de ransomware do LockBit é vazado por membro irritado com o grupo

Gerador de ransomware do LockBit é vazado por membro irritado com o grupo

Às vezes o feitiço vira contra o feiticeiro. O grupo por trás do ransomware LockBit costuma vazar dados capturados para extorquir as suas vítimas. Mas, recentemente, uma ferramenta de desenvolvimento da gangue é que vazou. Aparentemente, a ação foi conduzida por um membro insatisfeito com a liderança do grupo.

O que é um ransomware?O que é CVE? [Exposição e Vulnerabilidades]Grupo do ransomware LockBit tem ferramenta vazada (imagem ilustrativa: PixaHive)

Tudo começou quando uma conta no Twitter, recém-criada e em nome de Ali Qushji, declarou que sua equipe invadiu os servidores do LockBit. A conta também afirma que, na ação, o construtor LockBit 3.0 foi encontrado em um dos servidores.

O tal construtor (ou gerador) foi usado para criar a versão 3.0 do criptografador do grupo. Então sob o codinome LockBit Black, a ferramenta foi testada por dois meses e lançada em junho.

Pode não parecer, mas o vazamento traz transtornos para a gangue. De posse do construtor, qualquer pessoa pode criar uma campanha de ransomware com relativa facilidade. O BleepingComputer teve acesso à ferramenta e conta que conseguiu até personalizar o modo de agir do malware.

Ainda de acordo com o veículo, o construtor é formado por quatro arquivos: um gerador de chave criptográfica, um arquivo de configuração editável (config.json), o construtor em si e um arquivo de lote. Este último, quando executado, gera todos os arquivos necessários para o ransomware entrar em ação.

O LockBit sofreu um ataque ou não?

Seria uma ironia das grandes um grupo de ransomware ter seus servidores invadidos. Mas, aparentemente, o vazamento foi consequência de um “fogo amigo”.

A conta Ali Qushji, que divulgou a suposta invasão, foi suspensa pelo Twitter. Mas um especialista em segurança que se identifica como 3xp0rt compartilhou o tweet com o anúncio.

Pouco tempo depois, um administrador do VX-Underground, biblioteca online de códigos de malwares, alertou ter sido procurado em 10 de setembro por uma pessoa com codinome “protonleaks”. Esta oferecia justamente uma cópia do gerador.

Então, o pessoal do VX-Underground entrou em contato com um representante do LockBit. Este explicou que não houve invasão. A ferramenta teria sido vazada por um membro irritado com a liderança do grupo, por motivos não revelados.

A declaração não parece ser uma tentativa de pôr panos quentes na situação. Isso porque, se uma invasão por um agente externo realmente tivesse acontecido, é provável que muito mais arquivos teriam sido vazados, não só o construtor.

A ferramenta do LockBit em ação (demonstração: BleepingComputer)

É ruim para o LockBit e é ruim para todo mundo

Se por um lado esse vazamento faz o LockBit provar do próprio veneno, por outro, deixa o setor de segurança digital em alerta. É fácil entender o motivo: com uma ferramenta como essa circulando por aí, a tendência é a de que mais ações de ransomware apareçam dentro de um curto espaço de tempo.

Como o LockBit é um grupo que trabalha com o modelo de Ransomware as a Service (quando o malware é fornecido para que terceiros efetuem ataques com ele), faz sentido para eles que o tal gerador seja de uso relativamente fácil.

Só não é interessante para a gangue que a ferramenta seja distribuída como se fosse um software gratuito. Para um grupo agressivo, que já pratica até uma estratégia de extorsão tripla contra as vítimas, esse é um soco no estômago, portanto.

Se o vazamento terá outras consequências, só o tempo dirá. Mas uma coisa é certa: não dá para dizer que esse universo de malwares e segurança digital é entediante.

Gerador de ransomware do LockBit é vazado por membro irritado com o grupo


Deixe uma resposta

O seu endereço de email não será publicado.