Comme l’ont découvert les experts de VX-Underground, la dernière version du constructeur a été divulguée sur le réseau par un développeur insatisfait du leadership de LockBit. Le chercheur en cybersécurité 3xp0rt a été le premier à signaler l’incident, partageant un message de l’utilisateur ali_qushji.
Cet utilisateur a affirmé que son équipe avait piraté les serveurs LockBit, découvert le générateur de ransomware LockBit Black (3.0) et joint un lien vers le référentiel GitHub avec le code de l’outil dans la publication.
Après que 3xp0rt ait signalé la fuite, VX-Underground est immédiatement intervenu et a parlé d’un utilisateur nommé protonleaks, qui leur avait fourni un générateur d’échantillons encore plus tôt, le 10 septembre.
Cet utilisateur a affirmé que son équipe avait piraté les serveurs LockBit, découvert le générateur de ransomware LockBit Black (3.0) et joint un lien vers le référentiel GitHub.
Le constructeur se trouve dans un fichier 7z protégé par mot de passe appelé « LockBit3Builder.7z ». Il contient quatre fichiers :
-Build.bat – fichier batch pour créer tous les fichiers.
-builder.exe – le constructeur lui-même.
-config.json : – fichier de configuration utilisé pour régler le ransomware.
-keygen.exe – est un générateur de clé de chiffrement.
Les spécialistes de VX-Underground ont contacté LockBit et ont découvert qu’il n’y avait pas de piratage : un développeur mécontent a simplement divulgué le constructeur. Les experts mettent en garde contre une possible vague de cyberattaques utilisant des programmes intégrés au constructeur LockBit, car l’outil est désormais disponible pour absolument tous les attaquants.