HackerHood analizza il del builder di Lockbit 3.0

Redazione RHC : 1 Ottobre 2022 08:46

Autore: il team di hackerhood 

Prefazione: Il gruppo HackerHood è un gruppo della community di Red Hot Cyber che si è specializzato in attività tecnico specialistiche finalizzate ad incentivare la divulgazione dell’ethical hacking, la programmazione, le attività di malware Analysis e di Penetration test. HackerHood svolge inoltre attività di formazione all’interno delle scuole medie e superiori per incentivare i ragazzi alla conoscenza di questa materie e svolge attività di ricerca di vulnerabilità non documentate.

Il 21 settembre viene reso pubblico il builder utilizzato da Lockbit per creare le copie “personalizzate” del suo famoso ransomware.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il leak sembra essere reale e gli analisti di Hackerhood hanno analizzato il suo funzionamento.

E’ composto da un tool per creare una coppia di chiavi pubblica/privata, un builder per la creazione di tutti i file necessari per infettare una macchina e successivamente, in seguito al pagamento del riscatto, per decifrare i file criptati.

Il builder può creare istanze del malware che richiedono la password per essere eseguiti: questo metodo è utilizzato dal malware per rendere più complessa l’analisi dei sample.

Sembrerebbe quindi che l’iter usato dai cybercriminali sia quello di creare per ogni vittima una coppia diversa di chiavi RSA e tools a loro associate: nella cartella Build della vittima troveremo tutti i tool per infettare le macchine e per decriptare i file che usano queste chiavi. 

Nel momento in cui il riscatto viene pagato,  il team di Lockbit identifica la vittima e cerca all’interno della relativa cartella il tool “decryptor”, inviandolo.

Il leak potrebbe dare quindi un duro colpo a Lockbit, in quanto il builder permette la creazione e la gestione del malware senza dover corrispondere nulla al team che lo ha creato.

Questo potrebbe portare da una parte alla fine del team ma dall’altra, gli esperti sono preoccupati ad un possibile incremento delle infezioni di questo malware dovuto da nuovi possibili attori.

Il team di hackerhood ha analizzato il sample, trovate l’analisi a questo link:

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli