Gerador de ransomware do LockBit é vazado por membro irritado com o grupo

LockBit, que costuma vazar dados das vítimas, prova do próprio veneno ao ter ferramenta vazada por membro insatisfeito

Emerson Alecrim
Por
Grupo do ransomware LockBit tem ferramenta vazada (imagem ilustrativa: PixaHive)
Grupo do ransomware LockBit tem ferramenta vazada (imagem ilustrativa: PixaHive)

Às vezes o feitiço vira contra o feiticeiro. O grupo por trás do ransomware LockBit costuma vazar dados capturados para extorquir as suas vítimas. Mas, recentemente, uma ferramenta de desenvolvimento da gangue é que vazou. Aparentemente, a ação foi conduzida por um membro insatisfeito com a liderança do grupo.

Tudo começou quando uma conta no Twitter, recém-criada e em nome de Ali Qushji, declarou que sua equipe invadiu os servidores do LockBit. A conta também afirma que, na ação, o construtor LockBit 3.0 foi encontrado em um dos servidores.

O tal construtor (ou gerador) foi usado para criar a versão 3.0 do criptografador do grupo. Então sob o codinome LockBit Black, a ferramenta foi testada por dois meses e lançada em junho.

Pode não parecer, mas o vazamento traz transtornos para a gangue. De posse do construtor, qualquer pessoa pode criar uma campanha de ransomware com relativa facilidade. O BleepingComputer teve acesso à ferramenta e conta que conseguiu até personalizar o modo de agir do malware.

Ainda de acordo com o veículo, o construtor é formado por quatro arquivos: um gerador de chave criptográfica, um arquivo de configuração editável (config.json), o construtor em si e um arquivo de lote. Este último, quando executado, gera todos os arquivos necessários para o ransomware entrar em ação.

O LockBit sofreu um ataque ou não?

Seria uma ironia das grandes um grupo de ransomware ter seus servidores invadidos. Mas, aparentemente, o vazamento foi consequência de um “fogo amigo”.

A conta Ali Qushji, que divulgou a suposta invasão, foi suspensa pelo Twitter. Mas um especialista em segurança que se identifica como 3xp0rt compartilhou o tweet com o anúncio.

Pouco tempo depois, um administrador do VX-Underground, biblioteca online de códigos de malwares, alertou ter sido procurado em 10 de setembro por uma pessoa com codinome “protonleaks”. Esta oferecia justamente uma cópia do gerador.

Então, o pessoal do VX-Underground entrou em contato com um representante do LockBit. Este explicou que não houve invasão. A ferramenta teria sido vazada por um membro irritado com a liderança do grupo, por motivos não revelados.

A declaração não parece ser uma tentativa de pôr panos quentes na situação. Isso porque, se uma invasão por um agente externo realmente tivesse acontecido, é provável que muito mais arquivos teriam sido vazados, não só o construtor.

A ferramenta do LockBit em ação (demonstração: BleepingComputer)
A ferramenta do LockBit em ação (demonstração: BleepingComputer)

É ruim para o LockBit e é ruim para todo mundo

Se por um lado esse vazamento faz o LockBit provar do próprio veneno, por outro, deixa o setor de segurança digital em alerta. É fácil entender o motivo: com uma ferramenta como essa circulando por aí, a tendência é a de que mais ações de ransomware apareçam dentro de um curto espaço de tempo.

Como o LockBit é um grupo que trabalha com o modelo de Ransomware as a Service (quando o malware é fornecido para que terceiros efetuem ataques com ele), faz sentido para eles que o tal gerador seja de uso relativamente fácil.

Só não é interessante para a gangue que a ferramenta seja distribuída como se fosse um software gratuito. Para um grupo agressivo, que já pratica até uma estratégia de extorsão tripla contra as vítimas, esse é um soco no estômago, portanto.

Se o vazamento terá outras consequências, só o tempo dirá. Mas uma coisa é certa: não dá para dizer que esse universo de malwares e segurança digital é entediante.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Canal Exclusivo

Relacionados

LockBit é alvo de força-tarefa internacional e serviços são interrompidos
LockBit é alvo de força-tarefa internacional e serviços são interrompidos
Hacker invade hospital para crianças e grupo de ransomware se desculpa
Hacker invade hospital para crianças e grupo de ransomware se desculpa
Secretaria de Fazenda do RJ é alvo de ransomware; 420 GB podem ter vazado
Secretaria de Fazenda do RJ é alvo de ransomware; 420 GB podem ter vazado
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora
Como recuperar arquivos encriptados por ransomware
Como recuperar arquivos encriptados por ransomware
Grupo de ransomware volta atrás e dá solução contra ataque à polícia nos EUA
Grupo de ransomware volta atrás e dá solução contra ataque à polícia nos EUA
Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
Biden fará reunião com 30 países para discutir combate a ransomware
Biden fará reunião com 30 países para discutir combate a ransomware
Ransomware Avaddon, usado em ataques no Brasil, encerra atividades
Ransomware Avaddon, usado em ataques no Brasil, encerra atividades
Grupo hacker some após faturar US$ 5 milhões em bitcoin usando ransomware
Grupo hacker some após faturar US$ 5 milhões em bitcoin usando ransomware