Ransomware LockBit 3.0 startuje z programem bug bounty

Grupa cyberprzestępców LockBit uruchomiła program bug bounty obiecując pieniądze osobom chętnym do podzielenia się wrażliwymi danymi, które mogą być wykorzystane w atakach ransomware. Operatorzy konta vx-underground w serwisie Twitter, na którym publikowane są próbki złośliwego oprogramowania, twierdzą, że poprzez nowy program bug bounty, cyberprzestępcy będą płacić za informacje umożliwiające identyfikację wysoko postawionych osób, exploity i błędy oprogramowania oraz sieci umożliwiające infekowanie ransomware.

LockBit RaaS

Program bug bounty pojawił się wraz z wydaniem LockBit 3.0, najnowszej wersji produktu ransomware-as-a-service (RaaS) gangu, która jest już wykorzystywana w nowych atakach. Na stronie LockBit 3.0 bug bounty, grupa zaprasza „wszystkich badaczy bezpieczeństwa, etycznych i nieetycznych hakerów na planecie” do udziału w ich programie. Wysokość nagród waha się od 1000 do nawet 1 mln dolarów.

Programy bug bounty są zazwyczaj wykorzystywane przez firmy jako sposób na skłonienie badaczy bezpieczeństwa i hakerów do znalezienia luk w kodzie ich oprogramowania. To co robią operatorzy LockBit jest pierwszym przypadkiem, gdy grupa cyberprzestępcza wykorzystuje tę samą koncepcję – tyle że tym razem do złych celów. Dzieje się to również w momencie, gdy grupy ransomware są coraz częściej prowadzone jak legalne przedsiębiorstwa o standardowej strukturze i modelu biznesowym.

LockBit ransomware bug bounty

Strona bounty LockBit 3.0 zawiera nawet menu kategorii bug bounty interesujących gang. Grupa obiecuje zapłatę za błędy na stronach internetowych, takie jak luki w skryptach cross-site oraz SQL injection. Ale są też rzeczy, których w programach bug bounty nie spotykamy. Gang twierdzi, że zapłaci za błędy znalezione w jego własnym procesie szyfrowania i deszyfrowania, luki, które mogłyby umożliwić dostęp root do jego własnych serwerów, a nawet „genialne pomysły”, które mogą pomóc w ulepszeniu jego strony i oprogramowania.

Nie sądzimy jednak, aby do programu zgłosiło się zbyt wielu chętnych, o ile ktokolwiek się zgłosi. Ryzyko nieotrzymania zapłaty jest bardzo duże.

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x