Como descubrieron los expertos de VX-Underground, la última versión del constructor fue filtrada a la red por un desarrollador que no estaba satisfecho con el liderazgo de LockBit. El investigador de ciberseguridad 3xp0rt fue el primero en reportar el incidente, compartiendo un mensaje del usuario ali_qushji.
Este usuario afirmó que su equipo pirateó los servidores LockBit, descubrió el generador de ransomware LockBit Black (3.0) y adjuntó un enlace al repositorio de GitHub con el código de la herramienta en la publicación.
Después de que 3xp0rt informara sobre la fuga, VX-Underground intervino de inmediato y habló sobre un usuario llamado protonleaks, quien les proporcionó un generador de muestra incluso antes, el 10 de septiembre.
Este usuario afirmó que su equipo pirateó los servidores LockBit, descubrió el generador de ransomware LockBit Black (3.0) y adjuntó un enlace al repositorio de GitHub
El constructor está en un archivo 7z protegido por contraseña llamado «LockBit3Builder.7z». Tiene cuatro archivos dentro:
-Build.bat – archivo por lotes para construir todos los archivos.
-builder.exe – el propio constructor.
-config.json: – archivo de configuración utilizado para ajustar el ransomware.
-keygen.exe – es un generador de claves de cifrado.
Los especialistas de VX-Underground se pusieron en contacto con LockBit y descubrieron que no había ningún truco: un desarrollador descontento simplemente filtró el constructor. Los expertos advierten sobre una posible ola de ciberataques utilizando programas integrados en el constructor LockBit, ya que la herramienta ahora está disponible para absolutamente todos los atacantes.