Ransomware : LockBit passe officiellement la troisième
La première trace d’usage en situation réelle de LockBit 3.0, aussi appelé LockBit Black, avait été observée début mai. Cette nouvelle mouture est désormais ouvertement promue. Avec Bug Bounty et transition vers Zcash.
La version 3.0 du ransomware LockBit est officiellement de sortie. Un site vitrine dédié est déjà ouvert, même si, pour l’heure, seul celui de la version 2.0 affiche la liste des victimes récalcitrantes.
Mais la nouvelle vitrine comporte quelques surprises. Et cela commence par l’annonce d’un programme de Bug Bounty à quatre volets. Le premier propose de récompenser la découverte de vulnérabilités sur le site vitrine de la franchise – XSS, injections SQL, dépôt de webshell, etc. Les rémunérations annoncées varient de 1 000 à 1 million de dollars, en fonction de la sévérité des vulnérabilités identifiées. Et les plus critiques sont clairement énoncées : celles qui permettraient d’obtenir un outil de déchiffrement ou bien d’accéder à l’historique de négociations.
Les opérateurs de LockBit se proposent également de récompenser la découverte de failles dans leur rançongiciel, qui permettraient de déchiffrer les fichiers compromis sans leur outil de déchiffrement.
Les « idées » pour améliorer le site vitrine ou l’outillage de la franchise peuvent également être récompensées. Et à cela s’ajoute enfin le doxing du patron de l’organisation mafieuse : toute personne capable de produire son véritable nom peut prétendre à une gratification d’un million de dollars (pour son silence, imagine-t-on).
Le code source du site vitrine suggère l’adoption de nouveaux modes de monétisation des cyberattaques conduites avec le rançongiciel LockBit 3.0. Ainsi, tout semble prêt afin qu’il devienne prochainement possible de payer la franchise pour télécharger des données volées – y compris sous la forme d’un unique fichier BitTorrent –, mais aussi pour « s’acheter » plus de temps avant divulgation des données, ou encore pour demander la destruction des données dérobées. De quoi donner aux cyberdélinquants une chance supplémentaire de se faire payer par leurs victimes lorsque celles-ci ne veulent pas l’outil de déchiffrement. Ce genre de demande n’est pas rare lors des négociations.
#Lockbit DLS updated too, now they have a fucking bugbounty program @ValeryMarchive @vxunderground https://t.co/eD8MPr0lAY pic.twitter.com/G7nw4KQIYq
— Soufiane Tahiri (@S0ufi4n3) June 26, 2022
Enfin, certains éléments graphiques du nouveau site vitrine de LockBit 3.0 suggèrent que la franchise s’apprête à accepter les paiements avec Zcash, en plus de Monero et Bitcoin.
LockBit 3.0 avait été évoqué pour la première fois mi-mars. Cette nouvelle mouture doit notamment corriger un bogue de chiffrement des bases de données MSSQL. Son utilisation dans le cadre de cyberattaques a été observée fin avril/début mai. Nous avions obtenu copie d’une note déposée à l’occasion d’une attaque survenue à cette période.