Le ransomware Bl00Dy s’appuie sur le builder de LockBit 3.0, qui a fuité il y a quelques jours
Le gang de ransomware Bl00Dy a exploité le builder de LockBit 3.0 divulgué sur Internet la semaine dernière pour mener une nouvelle attaque à partir de ces outils désormais disponible pour tout le monde.
La semaine dernière, suite à un contentieux entre un développeur de LockBit et les fortes têtes de ce groupe de ransomware, il s'avère que le builder du ransomware LockBit 3.0 a été mis en ligne ! Suite à cet acte, n'importe qui peut utiliser le builder de LockBit 3.0 pour créer son propre ransomware grâce aux fonctions de chiffrement et de déchiffrement, utilisable dans le cadre de cyberattaques. Ce builder inclut un fichier de configuration facilement personnalisable, notamment pour personnaliser les notes de rançon, ce qui facilite l'émergence de nouveaux ransomwares.
On peut dire que, ce qui devait arriver arriva, puisqu'un groupe de ransomware créé récemment et nommé "Bl00Dy" a exploité les outils mis en ligne pour réaliser une attaque contre une entité ukrainienne. Différents experts, notamment de MalwareHunterTeam, ont analysé la note de rançon et les traces laissées par cette attaque afin de déterminer qu'il s'agissait bien de l'outil de chiffrement de LockBit 3.0. Par exemple, le groupe Bl00Dy a l'habitude d'utiliser l'extension .bl00dy pour les fichiers chiffrés, sauf que cette fois-ci ils n'ont pas pu car il ne s'agit pas d'une option personnalisable dans le builder de LockBit 3.0.
Ce groupe est relativement récent car il a débuté ses opérations en mai 2022, en ciblant un groupe de cabinets médicaux et dentaires basé à New York.
Ce n'est pas surprenant de voir que les cybercriminels du groupe Bl00Dy utilisent le builder de LockBit 3.0, car ils n'ont pas l'habitude de développer leurs propres outils. Précédemment, ils ont profité des leaks d'autres ransomwares pour lancer des attaques, notamment Babuk et Conti. Une manière d'essayer de contourner les systèmes de détection, mais aussi de profiter des fonctionnalités intégrées au builder utilisé. En l'occurrence, LockBit 3.0 est un ransomware très complet et redoutable, à l'origine de nombreuses cyberattaques, notamment celle qui a touché l'Hôpital de Corbeil-Essonnes.