Jemand hat die neueste Version von LockBits Verschlüsselung ins Internet geleakt, und während es zunächst wie eine Datenpanne und ein Diebstahl erscheinen mag, behauptet der öffentliche Vertreter des Ransomware-Betreibers, dass es sich tatsächlich um das Werk eines verärgerten Entwicklers handelt.
Ein brandneuer Twitter-Account namens Ali Qushji behauptete, sein Team habe die Server von LockBit gehackt und einen Builder für den LockBit 3.0-Ransomware-Verschlüsselungscode gefunden. Nach dem Tweet mischte sich die Malware-Quellcode-Bibliothek VX-Underground ein und sagte, sie seien am 10. September von einem Benutzer namens „protonleaks“ mit demselben Inhalt kontaktiert worden.
Dieselbe Quelle sagte auch, dass LockBitSupp, der öffentliche Vertreter der LockBit-Operation, bestätigte, dass dies nicht das Werk einer Hacking-Gruppe war, sondern eher ein verärgerter Entwickler, der mit der Führung des Ransomware-Betreibers unzufrieden war.
Verärgert über die Führung
„Wir haben uns diesbezüglich an die Lockbit-Ransomware-Gruppe gewandt und festgestellt, dass dieser Leaker ein Programmierer der Lockbit-Ransomware-Gruppe war“, twitterte VX-Underground (und löschte anschließend den Tweet). „Sie waren verärgert über die Führung von Lockbit und haben den Builder durchgesickert.“
Piepender Computer hat seitdem die Authentizität des Lecks bestätigt und erklärt, dass der Builder des LockBit 3.0-Verschlüsselungsprogramms mit dem Codenamen LockBit Black durchgesickert ist. Die Version, die sich bis Juni zwei Monate lang in der Testphase befand, kam mit einer Reihe neuer Funktionen, darunter Anti-Analyse, ein Ransomware-Bug-Bounty-Programm und neue Erpressungsmethoden.
Das Leaking des Builders bedeutet nicht, dass jeder, der sich mit LockBit infiziert, die entführten Daten jetzt leicht entschlüsseln kann. Stattdessen bedeutet dies, dass andere Bedrohungsakteure ihre eigenen Versionen problemlos kompilieren und verschiedene Konfigurationsoptionen, die Lösegeldforderung und andere Details optimieren können. Während dies den Betrieb von LockBit in gewissem Maße beeinträchtigen könnte, bedeutet dies auch, dass Unternehmen bald einer noch größeren Anzahl von Ransomware-Stämmen ausgesetzt sein könnten.
Dies ist nicht das erste Mal, dass der Quellcode eines Verschlüsselers online durchgesickert ist. Zu Beginn der russischen Invasion in der Ukraine leckte ein Hacker den Quellcode von Conti, einer Ransomware-Gruppe, die die Invasion damals öffentlich unterstützte.
Über: Piepender Computer (öffnet in neuem Tab)