Filtrado el builder del conocido ransomware LockBit

Se ha filtrado el builder de la última versión del encryptor de la banda de ransomware LockBit,
y aunque en principio se ha publicado que es debido a un hackeo, según ha comunicado
el representante público de LockBit, esto lo hizo un desarrollador “descontento”.

En Junio fue lanzada la última versión del encryptor, que incluía numerosas novedades, como por
ejemplo, un programa de bug bounty en el que hay recompensas de entre 1000$ y 1 millón de
dólares a los investigadores que reporten vulnerabilidades o aporten “ideas brillantes” que
mejoren el funcionamiento del ransomware.

Según el investigador de ciberseguridad 3xport, un usuario recién registrado en Twitter,
comentó que su equipo logró hackear los servidores de LockBit y encontraron el builder del
encryptor.

Después del anuncio de la filtración, VX-Underground, reveló que el 10 de Septiembre, un
usuario les ofreció una copia del builder en cuestión. No se puede determinar si se trata del
mismo usuario que filtró en Twitter el builder.

LockBit alega que su infraestructura no fue hackeada, sino que se trataba de un desarrollador
contratado por el grupo de ransomware, que estaba molesto con la dirección de LockBit y
decidió filtrar el builder como venganza.

Tras la filtración, han saltado las alarmas entre los responsables de respuesta ante incidentes y
expertos en ciberseguridad, ya que ahora más cibercriminales podrán crear más campañas de
ransomware. El builder consta de cuatro archivos, uno de ellos es el config.json. Se puede
personalizar el encryptor de múltiples maneras, pudiendo modificar la nota de rescate,
incluso es posible cambiar los procesos y servicios se podrían detener, además de la
especificación del servidor command and control (C2).

La filtración del builder no significa que quien se infecte con este ransomware pueda descifrar
sus datos fácilmente.

Esta no es la primera vez que se filtra el código fuente o el builder de un ransomware, en Junio
de 2021, se filtró el builder del ransomware Babuk, permitiendo que cualquiera pudiera crear
sus propios encryptors y decryptors. Un caso similar ocurrió en Marzo de 2022, cuando el
ransomware Conti sufrió una brecha y su código fue publicado.

Más información:

• https://www.scmagazine.com/brief/ransomware/lockbit-breached-ransomware-builder-leaked
• https://thecyberexpress.com/tag/lockbit-3-0-leak-site/?amp=1
• https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/

Acerca de Sergio Lucero Corchado

Sergio Lucero Corchado Ha escrito 3 publicaciones.

Pentester y experto en ciberseguridad

• View all posts by Sergio Lucero Corchado →
• Blog