Se ha filtrado el builder de la última versión del encryptor de la banda de ransomware LockBit, y aunque en principio se ha publicado que es debido a un hackeo, según ha comunicado el representante público de LockBit, esto lo hizo un desarrollador “descontento”.
En junio fue lanzada la última versión del encryptor, que incluía numerosas novedades, como, por ejemplo, un programa de bug bounty en el que hay recompensas de entre 1000$ y 1 millón de dólares a los investigadores que reporten vulnerabilidades o aporten “ideas brillantes” que mejoren el funcionamiento del ransomware.
Según el investigador de ciberseguridad 3xport, un usuario recién registrado en Twitter,
comentó que su equipo logró hackear los servidores de LockBit y encontraron el builder del encryptor.
Después del anuncio de la filtración, VX-Underground, reveló que el 10 de septiembre, un
usuario les ofreció una copia del builder en cuestión. No se puede determinar si se trata del mismo usuario que filtró en Twitter el builder.
LockBit alega que su infraestructura no fue hackeada, sino que se trataba de un desarrollador contratado por el grupo de ransomware, que estaba molesto con la dirección de LockBit y decidió filtrar el builder como venganza.
Tras la filtración, han saltado las alarmas entre los responsables de respuesta ante incidentes y expertos en ciberseguridad, ya que ahora más cibercriminales podrán crear más campañas de ransomware. El builder consta de cuatro archivos, uno de ellos es el config. json. Se puede personalizar el encryptor de múltiples maneras, pudiendo modificar la nota de rescate, incluso es posible cambiar los procesos y servicios se podrían detener, además de la especificación del servidor command and control (C2).
La filtración del builder no significa que quien se infecte con este ransomware pueda descifrar sus datos fácilmente.
Esta no es la primera vez que se filtra el código fuente o el builder de un ransomware, en junio de 2021, se filtró el builder del ransomware Babuk, permitiendo que cualquiera pudiera crear sus propios encryptors y decryptors. Un caso similar ocurrió en marzo de 2022, cuando el ransomware Conti sufrió una brecha y su código fue publicado.
Créditos: Lucero Corchado
