LockBit勒索软件操作遭到破坏，据称心怀不满的开发人员泄露了该团伙最新加密器的生成器。

6月，LockBit勒索软件组织发布了他们的加密器3.0版，代号为LockBit Black，经过两个月的测试。新版本吹嘘“让勒索软件再次伟大”，新版本添加了新的反分析功能、勒索软件漏洞赏金计划和新的勒索方法。

然而，LockBit似乎遭到了破坏，有两个人（或者可能是同一个人）在Twitter上泄露了LockBit 3.0生成器。

据安全研究人员3xp0rt称，一位名为“Ali Qushji”的新注册Twitter用户表示，他们的团队入侵了LockBits服务器并找到了LockBit 3.0勒索软件的生成器。

在安全研究员3xp0rt分享了有关泄露的LockBit 3.0生成器的推文后，VX-Underground（一个恶意软件相关分析文章、技术博客）说，9月10日，一位名为“protonleaks”的用户联系了他们，该用户还分享了该生成器的副本。

VX-Underground表示，LockBit勒索软件组织的公共代表LockBitSupp声称他们没有被黑客入侵，而是一个心怀不满的开发人员泄露了勒索软件生成器。

“我们就此联系了Lockbit勒索软件组织，发现这个泄密者是Lockbit勒索软件组织雇用的程序员。”VX-Underground在现已删除的推文中分享道。

“他们对Lockbit的领导层感到不满，对外公开了Lockbit勒索软件生成器。”多名安全研究人员确认该生成器可用。

生成器可以让任何人轻易创建勒索软件新团伙

不管私人勒索软件制造商是如何被泄露的，这不仅对LockBit勒索软件操作造成了严重打击，对企业同样构成严重威胁，将会看到越来越多的攻击者使用它来发起自己的攻击。

泄露的LockBit 3.0生成器允许任何人快速构建自己的勒索软件，包括加密器、解密器和以特定方式启动解密器的专用工具。

该生成器由四个文件组成，一个加密密钥生成器、一个生成器、一个可修改的配置文件和一个用于生成所有文件的批处理文件。

LockBit 3.0生成器文件(来源：BleepingComputer)

包含的“config.json”可用于自定义加密器，包括修改赎金记录、更改配置选项、决定终止哪些进程和服务，甚至指定加密器将发送数据的命令和控制服务器。

通过修改配置文件，任何威胁参与者都可以根据自己的需要对其进行自定义，并修改创建的赎金记录以链接到他们自己的基础设施。

LockBit 3.0配置文件(来源：BleepingComputer)

执行批处理文件时，生成器将创建成功启动勒索软件活动所需的所有文件，如下所示。

LockBit 3.0生成器创建的勒索软件可执行文件(来源：BleepingComputer)

BleepingComputer对泄露的勒索软件生成器进行了测试，验证了该工具能够轻松自定义新的勒索软件，使用自定义的本地命令和控制服务器，加密文件，然后再解密，如下所示。

内置LockBit 3.0解密器的演示（来源：BleepingComputer）

勒索软件生成器并不是第一次在网上泄露。

2021年6月，Babuk勒索软件生成器被泄露，允许任何人为Windows和VMware ESXi创建加密器和解密器，其他威胁参与者在攻击中使用这些加密器和解密器。

2022年3月，当Conti勒索软件操作遭遇数据泄露时，其源代码也被在线泄露。该源代码很快被NB65黑客组织用来对俄罗斯发起勒索软件攻击。

参考链接：
https://www.bleepingcomputer.com/