Facebook Linkedin Youtube Telegram Twitter Rss Mastodon
Logo Portale Red Hot Cyber

Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

HackerHood analizza il del builder di Lockbit 3.0

1 Ottobre 2022 08:46

Autore: il team di hackerhood 

Prefazione: Il gruppo HackerHood è un gruppo della community di Red Hot Cyber che si è specializzato in attività tecnico specialistiche finalizzate ad incentivare la divulgazione dell’ethical hacking, la programmazione, le attività di malware Analysis e di Penetration test. HackerHood svolge inoltre attività di formazione all’interno delle scuole medie e superiori per incentivare i ragazzi alla conoscenza di questa materie e svolge attività di ricerca di vulnerabilità non documentate.

Il 21 settembre viene reso pubblico il builder utilizzato da Lockbit per creare le copie “personalizzate” del suo famoso ransomware.

Supporta Red Hot Cyber attraverso
  • L'acquisto del fumetto sul cybersecurity awareness (Primo episodio)
  • La sponsorizzazione della RHC Conference 2024
  • L'Acquisto di stock di fumetti sul Cybersecurity Awareness personalizzabili
  • La realizzazione di una puntata del fumetto BETTI-RHC
  • La realizzazione di strisce a fumetti brandizzate
  • Seguendo RHC su LinkedIn
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Google News

    • Iscrivendoti alla nostra newsletter

    Il leak sembra essere reale e gli analisti di Hackerhood hanno analizzato il suo funzionamento.

    E’ composto da un tool per creare una coppia di chiavi pubblica/privata, un builder per la creazione di tutti i file necessari per infettare una macchina e successivamente, in seguito al pagamento del riscatto, per decifrare i file criptati.

    Il builder può creare istanze del malware che richiedono la password per essere eseguiti: questo metodo è utilizzato dal malware per rendere più complessa l’analisi dei sample.

    Sembrerebbe quindi che l’iter usato dai cybercriminali sia quello di creare per ogni vittima una coppia diversa di chiavi RSA e tools a loro associate: nella cartella Build della vittima troveremo tutti i tool per infettare le macchine e per decriptare i file che usano queste chiavi. 

    Schema di generazione eseguito dal builder

    Nel momento in cui il riscatto viene pagato,  il team di Lockbit identifica la vittima e cerca all’interno della relativa cartella il tool “decryptor”, inviandolo.

    Il leak potrebbe dare quindi un duro colpo a Lockbit, in quanto il builder permette la creazione e la gestione del malware senza dover corrispondere nulla al team che lo ha creato.

    Questo potrebbe portare da una parte alla fine del team ma dall’altra, gli esperti sono preoccupati ad un possibile incremento delle infezioni di questo malware dovuto da nuovi possibili attori.

    Il team di hackerhood ha analizzato il sample, trovate l’analisi a questo link:

    https://hackerhood.redhotcyber.com/malware-analysis-di-lockbit-3-0-builder-leak/

    Iscriviti alla newsletter
    Categorie
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    Redazione: [email protected]

    Facebook Linkedin Youtube Telegram Twitter Pinterest Tumblr