Gangue de ransomware LockBit promete pagamento de recompensa por dados pessoais

O infame grupo de ransomware como serviço está oferecendo dinheiro a pesquisadores e hackers dispostos a compartilhar dados pessoais para exploração.

Em uma nova reviravolta no jogo de ransomware, o grupo de crimes cibernéticos LockBit lançou um programa de recompensas de bugs prometendo dinheiro para pessoas dispostas a compartilhar dados confidenciais que podem ser explorados em ataques de ransomware. Um tweet recente postado pela conta vx-underground, que publica amostras de malware, diz que, por meio do novo programa de recompensas, a LockBit pagará por informações de identificação pessoal sobre “indivíduos de alto perfil, explorações de segurança na web e muito mais”.

O programa de recompensas está sendo revelado com o lançamento do LockBit 3.0, a versão mais recente do produto ransomware como serviço da gangue e que já está sendo usada em novos ataques de ransomware. Em seu site de recompensas de bugs LockBit 3.0, o grupo está convidando “todos os pesquisadores de segurança, hackers éticos e antiéticos do planeta” para participar de seu programa de recompensas de bugs. As recompensas pelo vazamento de dados pessoais variam de US$ 1.000 a até US$ 1 milhão.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Os programas de recompensas por bugs são normalmente usados ​​por empresas legítimas como forma de persuadir pesquisadores de segurança e hackers a encontrar vulnerabilidades em seu código de software. Esse movimento da LockBit aparentemente é a primeira vez que um grupo de cibercriminosos está usando o mesmo conceito – exceto desta vez para fins nefastos. Esse desenvolvimento também ocorre quando os grupos de ransomware estão sendo cada vez mais istrados como empresas legais com estrutura e modelo de negócios.

“As empresas oferecem recompensas de bugs para obter mais atenção em seu código, esperando que ofereçam uma recompensa suficiente para atrair pesquisadores a dar uma olhada e divulgar com responsabilidade o que encontram”, disse Mike Parkin, engenheiro técnico sênior da empresa de risco cibernético Vulcan Cyber. “Agora, com a gangue de ransomware LockBit aparentemente oferecendo suas próprias recompensas por bugs, qualquer pessoa que ainda duvide que as gangues de cibercriminosos atingiu um nível de maturidade que rivaliza com as organizações visadas pode precisar reavaliar. Eles pegaram uma página diretamente do manual de desenvolvimento de uma organização madura.”

O site de recompensas do LockBit 3.0 inclui até um menu de categorias de recompensas de bugs de interesse da gangue, conforme revelado pelo Bleeping Computer. O grupo promete pagamento por bugs do site, como vulnerabilidades de script entre sites e injeções de SQL. Mas vai além das vulnerabilidades. A gangue diz que pagará por erros encontrados em seu próprio processo de criptografia e descriptografia de ransomware, falhas que podem permitir o root a seus próprios servidores e até “idéias brilhantes” que podem ajudá-lo a melhorar seu site e software.

Mas a oferta mais lucrativa é na forma de US$ 1 milhão, pago para doxar o chefe do programa de afiliados. Isso significa que o grupo está desafiando as pessoas a encontrar a verdadeira identidade do chefe do programa de afiliados da LockBit, alguém conhecido apenas como LockBitSupp, e está disposto a pagar muito para ver se alguém consegue identificá-los. Essa oferta existe desde pelo menos março de 2022, quando a LockBitSupp prometeu US$ 1 milhão ao agente do FBI que poderia “desanunciá-los”.

O programa de recompensas de bugs da LockBit naturalmente se baseia em encontrar pesquisadores antiéticos, hackers e outros indivíduos dispostos a fornecer aos criminosos dados confidenciais para ganhar dinheiro rápido. Embora a maioria das organizações queira confiar em seus funcionários e parceiros, a triste realidade é que as empresas precisam garantir que os ativos estejam protegidos contra todas as ameaças, externas e internas.

“A maior manchete aqui é que os invasores estão descobrindo cada vez mais que podem comprar o às empresas e sistemas que desejam atacar”, disse Casey Bisson, chefe de habilitação de produtos e desenvolvedores da empresa de segurança BluBracket. “Isso deve fazer com que todas as empresas analisem a segurança de sua cadeia de suprimentos interna, incluindo quem e o que tem o ao seu código e quaisquer segredos nele. Programas de recompensa antiéticos como esse transformam senhas e chaves em código em ouro.”