LockBit fidye yazılımı operasyonu, sözde hoşnutsuz bir geliştiricinin, çetenin en yeni şifreleyicisi için oluşturucuyu sızdırmasıyla bir ihlal yaşadı.
Haziran ayında LockBit fidye yazılımı operasyonu şifreleyicilerinin 3.0 sürümünü yayınladıiki ay boyunca test ettikten sonra kod adı LockBit Black.
Yeni sürüm, yeni anti-analiz özellikleri, bir fidye yazılımı hata ödül programı ve yeni gasp yöntemleri ekleyerek ‘Fidye Yazılımı Yeniden Harika Hale Getirme’ sözü verdi.
Bununla birlikte, LockBit 3.0 oluşturucuyu Twitter’da sızdıran iki kişi (veya belki aynı kişi) ile LockBit bir ihlale maruz kalmış gibi görünüyor.
LockBit 3.0 oluşturucu Twitter’da sızdırıldı
Güvenlik araştırmacısına göre 3xp0rt‘Ali Qushji’ adlı yeni kayıtlı bir Twitter kullanıcısı, ekiplerinin LockBits sunucularını hacklediğini ve LockBit 3.0 fidye yazılımı şifreleyicisi için bir oluşturucu bulduğunu belirtiyor.
Güvenlik araştırmacısı 3xp0rt, sızdırılan LockBit 3.0 oluşturucu hakkında tweet’i paylaştıktan sonra, VX-Yeraltı 10 Eylül’de, oluşturucunun bir kopyasını da paylaşan ‘protonleaks’ adlı bir kullanıcı tarafından kendileriyle iletişime geçildiğini paylaştı.
Ancak VX-Underground, LockBit operasyonunun kamu temsilcisi LockBitSupp’un saldırıya uğramadıklarını, bunun yerine hoşnutsuz bir geliştiricinin özel fidye yazılımı oluşturucuyu sızdırdığını iddia ediyor.
VX-Underground, şimdi silinen bir tweet’te “Bununla ilgili olarak Lockbit fidye yazılımı grubuna ulaştık ve bu sızıntının Lockbit fidye yazılımı grubu tarafından çalışan bir programcı olduğunu keşfettik” dedi.
“Lockbit liderliğine kızdılar ve inşaatçıyı sızdırdılar.”
BleepingComputer, oluşturucunun meşru olduğunu onaylayan birden fazla güvenlik araştırmacısıyla konuştu.
Builder, herkesin bir fidye yazılımı çetesi başlatmasına izin verir
Özel fidye yazılımı oluşturucunun nasıl sızdırıldığına bakılmaksızın, bu yalnızca LockBit fidye yazılımı operasyonuna ciddi bir darbe değil, aynı zamanda kendi saldırılarını başlatmak için onu kullanan tehdit aktörlerinde bir artış görecek olan kuruluşa da ciddi bir darbe.
Sızan LockBit 3.0 oluşturucu, herkesin bir şifreleyici, şifre çözücü ve şifre çözücüyü belirli şekillerde başlatmak için özel araçlar dahil olmak üzere kendi işlemlerini başlatmak için gereken yürütülebilir dosyaları hızlı bir şekilde oluşturmasına olanak tanır.
Oluşturucu, dört dosya, bir şifreleme anahtarı oluşturucu, bir oluşturucu, değiştirilebilir bir yapılandırma dosyası ve tüm dosyaları oluşturmak için bir toplu iş dosyasından oluşur.
Dahil edilen ‘config.json’, fidye notunu değiştirmek, yapılandırma seçeneklerini değiştirmek, hangi işlemlerin ve hizmetlerin sonlandırılacağına karar vermek ve hatta şifreleyicinin veri göndereceği komut ve kontrol sunucusunu belirtmek dahil olmak üzere bir şifreleyiciyi özelleştirmek için kullanılabilir.
Herhangi bir tehdit aktörü yapılandırma dosyasını değiştirerek onu kendi ihtiyaçlarına göre özelleştirebilir ve oluşturulan fidye notunu kendi altyapılarına bağlayacak şekilde değiştirebilir.
Toplu iş dosyası yürütüldüğünde, oluşturucu, aşağıda gösterildiği gibi başarılı bir fidye yazılımı kampanyası başlatmak için gerekli tüm dosyaları oluşturacaktır.
BleepingComputer, sızdırılan fidye yazılımı oluşturucuyu test etti ve aşağıda gösterildiği gibi kendi yerel komuta ve kontrol sunucumuzu kullanacak, dosyalarımızı şifreleyecek ve ardından şifrelerini çözecek şekilde kolayca özelleştirebildi.
Bu oluşturucu, kendi operasyonlarını başlatan diğer tehdit aktörlerinin artan saldırılarına yol açan bir fidye yazılımı oluşturucu veya kaynak kodunun çevrimiçi olarak sızdırıldığı ilk sefer değil.
Haziran 2021’de, Babuk fidye yazılımı oluşturucu sızdırıldıdiğer tehdit aktörlerinin saldırılarda kullandığı Windows ve VMware ESXi için herkesin şifreleyiciler ve şifre çözücüler oluşturmasına izin verir.
Mart 2022’de, Conti fidye yazılımı operasyonu veri ihlali yaşadıonların kaynak kodu internete sızdırıldı ilave olarak. Bu kaynak kodu NB65 bilgisayar korsanlığı grubu tarafından hızla kullanılır Rusya’ya fidye yazılımı saldırıları başlatmak için.