LockBit 3.0 sta vendendo già usato dal ransomware Bloody

Una settimana fa, vi abbiamo riportato che il codice di LockBit 3.0, il quale introduce alcune novità, come un programma di Bug Bounty (viene assegnato un premio in denaro a chi individua bug e vulnerabilità nelle build del software), il supporto dei pagamenti tramite Zcash e nuove tattiche di estorsione, era stato diffuso in rete tramite Sendspace, contenuti all'interno di un file 7z protetto da password (che veniva comunque riportata in chiaro).

Era solo questione di tempo prima che tale codice venisse impiegato anche da altri gruppi ransomware nei loro attacchi. A quanto pare, non è stato necessario attendere molto, dato che un gruppo relativamente nuovo, conosciuto come "Bl00Dy Ransomware Gang", ha già utilizzato il builder di LockBit 3.0 per attaccare un'entità ucraina.

Il primo a parlare di questo è stato il ricercatore di cybersicurezza Vladislav Radetskiy, sebbene non sia chiaro se il ransomware fosse basato su Conti o LockBit, dal momento che l'e-mail "filedecryptionsupport@msgsafe.io" era stata stata precedentemente usata in una encryptor realizzato grazie al codice di Conti trapelato in precedenza. Successivamente, anche MalwareHunter Team ha confermato che l'encrpytor è stato creato a partire dal codice di LockBit.

Ci sono ulteriori indizi che lasciano intuire che Bl00dy abbia utilizzato il codice di LockBit. Infatti, una scansione di Intezer mostra molte similitudini tra gli encryptor di Bl00dy e LockBit, oltre al fatto che anche i nome dei file crittografati vengono creati secondo lo stile di LockBit, sebbene il gruppo ne abbia personalizzato il testo e le informazioni di contatto.

Bl00dy probabilmente è solo il primo di tanti altri gruppi che sfrutteranno il codice trapelato di LockBit 3.0 a proprio vantaggio, ma solo il tempo ce lo potrà dire.