Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

HackerHood analizza il del builder di Lockbit 3.0

Redazione RHC : 1 Ottobre 2022 08:46

Autore: il team di hackerhood 

Prefazione: Il gruppo HackerHood è un gruppo della community di Red Hot Cyber che si è specializzato in attività tecnico specialistiche finalizzate ad incentivare la divulgazione dell’ethical hacking, la programmazione, le attività di malware Analysis e di Penetration test. HackerHood svolge inoltre attività di formazione all’interno delle scuole medie e superiori per incentivare i ragazzi alla conoscenza di questa materie e svolge attività di ricerca di vulnerabilità non documentate.

Il 21 settembre viene reso pubblico il builder utilizzato da Lockbit per creare le copie “personalizzate” del suo famoso ransomware.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il leak sembra essere reale e gli analisti di Hackerhood hanno analizzato il suo funzionamento.

E’ composto da un tool per creare una coppia di chiavi pubblica/privata, un builder per la creazione di tutti i file necessari per infettare una macchina e successivamente, in seguito al pagamento del riscatto, per decifrare i file criptati.

Il builder può creare istanze del malware che richiedono la password per essere eseguiti: questo metodo è utilizzato dal malware per rendere più complessa l’analisi dei sample.

Sembrerebbe quindi che l’iter usato dai cybercriminali sia quello di creare per ogni vittima una coppia diversa di chiavi RSA e tools a loro associate: nella cartella Build della vittima troveremo tutti i tool per infettare le macchine e per decriptare i file che usano queste chiavi. 

Schema di generazione eseguito dal builder

Nel momento in cui il riscatto viene pagato,  il team di Lockbit identifica la vittima e cerca all’interno della relativa cartella il tool “decryptor”, inviandolo.

Il leak potrebbe dare quindi un duro colpo a Lockbit, in quanto il builder permette la creazione e la gestione del malware senza dover corrispondere nulla al team che lo ha creato.

Questo potrebbe portare da una parte alla fine del team ma dall’altra, gli esperti sono preoccupati ad un possibile incremento delle infezioni di questo malware dovuto da nuovi possibili attori.

Il team di hackerhood ha analizzato il sample, trovate l’analisi a questo link:

https://hackerhood.redhotcyber.com/malware-analysis-di-lockbit-3-0-builder-leak/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...