͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.

Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика банды, который вышел в июне 2022 года.

Новая версия ransomware включала обновленные функции антианализа, собственную BugBounty и передовые методы вымогательства.

Однако не прошло и трех месяцев, как все труды по факту были обнулены. Первоначально, ресерчеры полагали, что инфраструктуру LockBits взломали, после чего два пользователя слили сборщик LockBit 3.0 в Twitter, заявив о взломе.

Как позже пояснил LockBitSupp, публичный представитель LockBit, сервера не были взломаны, а частный сборщик ransomware слил недовольный разработчик, которого нанимали хакеры под проект. При этом ряд исследователей подтвердили, что сборщик является аутентичным.

На самом деле утечка имеет более серьезные последствия, ведь теперь конструктор LockBit 3.0 доступен любому злоумышленнику, который, как выяснили ресерчеры, позволяет быстро создавать исполняемые файлы для запуска собственных операций, включая шифровальщик, дешифратор и специализированные инструменты для его запуска.

Конструктор состоит из четырех файлов, генератора ключей шифрования, построителя, изменяемого файла конфигурации и пакетного файла для сборки всех файлов.

Config.json позволяет осуществлять все ключевые настройки шифровальщика: заметки о выкупе, параметров конфигурации, списка завершаемых процессов и служб, а также С2, на который шифровальщик будет отправлять данные.

После выполнения пакетного файла сборщик создаст все файлы, необходимые для запуска полноценной кампании ransomware.

Так что еще не понятно, кто пострадает от утечки больше: вымогатели или же потенциально возросшее таким образом сообщество жертв.