专家担心勒索软件构建器泄露后LockBit会传播

一个用于创建LockBit勒索软件DIY版本的工具包已经泄露，这在事件响应者和网络安全专家中引发了警报，警告称这种软件将在攻击中得到更广泛的使用。

安全研究人员3xp0rt周三宣布了LockBit 3.0勒索软件加密器的泄漏。

几位专家和研究人员向记录证实，开发者工程，并允许任何人创建自己的勒索软件。 

在3xp0rt分享的一条消息中，据称与LockBit有关的人解决了这个问题，将泄漏归咎于一个不满的附属公司，并否认了被盗内容可能被其他人用来复制勒索软件集团所做的事情的想法。 

“联盟计划不是一个储物柜，它是一个软件包，最重要的是一个无可挑剔的声誉，没有人可以玷污，无论发生什么软件泄漏，”LockBit的代表说。

“很少有人会同意向一个没有声誉的pentester(渗透测试者)随机付费，希望成功解密和删除被盗数据。” 但几位网络安全专家对这种前景表示了极大的担忧。Emsisoft威胁分析师Brett Callow将这种情况与去年Babuk Locker勒索软件构建器的泄露进行了比较。

正如Babuk的builder泄露的情况一样，我们很可能会看到其他威胁行为者使用LockBit的，这显然会使归属复杂化。

女猎手高级安全研究员哈蒙德表示，不太熟练的对手被Babuk勒索软件工具所吸引，因为它易于定制和使用。“即使是像HiddenTear或RAASNet这样‘用于教育和研究目的’的开源工具，也可能被对手出于错误的原因而武器化。这只是表明网络犯罪已经变得多么商品化。

Recorded Future勒索软件专家艾伦·利斯卡表示，他的团队今年已经确定了超过150个“新”勒索软件团体，其中大多数都在使用被盗的Conti或REvil代码。“去年这个时候，有记录的未来是从大约45个活跃的DLS收集的，今天它超过了100个。勒索软件团体确实在激增，大多数使用从其他勒索软件团体泄露/窃取的代码”。

赛门铁克威胁猎人团队的首席情报分析师迪克·奥布莱恩表示，我们“几乎可以肯定”会看到其他攻击者重用LockBit的源代码。根据O'Brien的说法，Lockbit的成功部分是因为他们有一个非常有效的“有效载荷”——这个术语用于描述病毒、蠕虫或特洛伊木马在受害者计算机上的目的。“其他勒索软件运营商可以用Lockbit的更名变种来取代他们的有效载荷，你可以看到一些有志团体利用这一点来开展自己的勒索软件业务”。

奥布莱恩还警告不要“夸大”泄露的潜在后果，称有效载荷只是勒索软件操作的一个方面。“攻击者还需要有能力访问大量潜在受害者的网络，并有能力通过创建联盟计划所需的基础设施来扩展，这一切都不容易。”

自该组织于2019年开始运营以来，研究人员已将超过1029次攻击与LockBit联系起来。

在去年推出其勒索软件即服务平台的新版本LockBit 2.0之前，该集团一直被认为是一个边缘玩家。该集团再次改组，今年夏天推出了LockBit 3.0，取代Conti成为最多产的犯罪组织。

该团伙在8月份至少有68名受害者，包括上个月对巴黎东南约一小时车程的一家医院的严重袭击，该袭击扰乱了医院的医学成像、病人入院和其他服务。

根据网络安全公司Dragos的数据，第二季度针对工业系统的勒索软件攻击中，约有三分之一归因于LockBit。

女猎手的哈蒙德说，最新版本的LockBit具有新的特性和功能，可以比以前更快地加密文件。builder软件的泄漏使配置、定制和最终生成可执行文件的能力商品化，不仅可以加密文件，还可以解密文件。

任何拥有这个工具的人都可以开始全面的勒索操作，”他指着泄露的配置文件的截图说。"这是非常可定制的-注意如何赎金通知可以完成改变。"

根据哈蒙德的说法，加密器可以删除事件日志，干扰进程，并可能在整个网络中移动，并禁用防病毒保护。

泄露的一个小好处可能是，安全专家可以分析和探索这个构建器软件，并有可能收集新的威胁情报，从而挫败勒索软件的操作。至少，这次泄露让网络安全专家对LockBit的内部运作有了更深入的了解，来自LockBit的消息表明，他们已经与开发人员签约，他们受到了内部威胁。

泄漏可能是洛克比特集团内部不满派系的迹象，这些大型RaaS集团因向其开发人员、iab(初始接入经纪人)和其他支持人员支付低工资而臭名昭著，因此这未必是一个惊喜。

今年早些时候泄露的Conti勒索软件生成器也出现了LockBit泄露。哈蒙德告诉我们，在Conti泄漏被免费提供后，Conti勒索软件构建器“获得了其他威胁行为者团体的大量采用，这些威胁行为者团体希望快速轻松地启动他们自己的勒索软件操作。” 钱是真正的动机，当像这样的工具可用时，它使任何人都能操纵使用。

根据哈蒙德的说法，尽管它是可定制的，但加密器仍然会将受害者壁纸更改为“Lockbit Black”，他指出，更有经验的操作员可能会试图改变这一点。

与此同时，更多的低级别组织甚至可能想要“看起来像”锁定位攻击的合法性。

考虑到专家们现在对构建者的“轻松指纹和知名度”，围绕泄漏的宣传可能会吓跑许多网络犯罪分子。

根据在Conti看到的情况，犯罪集团很可能会建立自己的LockBit。

这意味着，在已经看到勒索软件集团分裂的一年里，我们可能会看到更多的‘新’组织涌现出来。”

Conti勒索组织事件回顾：