Les exploitants du ransomware Lockbit lancent un programme de bug bounty

Lockbit existe depuis 2019, et la solution de ransomware-as-a-service LockBit 2.0 a été lancée en juin 2021. Il s'agit de l'une des opérations de ransomware les plus actives, représentant près de la moitié de toutes les attaques de ransomware en 2022, avec plus de 800 victimes citées sur le site de fuite de Lockbit 2.0, selon SecurityWeek. Le ransomware compte pour 40% des attaques de ransomware en mai, selon Bleepingcomputer.

Les cybercriminels cryptent les fichiers sur les systèmes compromis et volent également des informations potentiellement précieuses qu'ils menacent de divulguer si la victime refuse de payer. Avec l'introduction de Lockbit 3.0, ils semblent investir une partie des bénéfices dans leur propre sécurité via un programme de bug bounty.

Comme le font certaines entreprises «normales», Lockbit propose de récompenser les chercheurs en sécurité qui l'aident à améliorer sa sécurité. Les exploitants affirment qu'ils sont prêts à verser de 1000 à 1 million de dollars aux chercheurs et pirates informatiques (non-éthiques) améliorant la performance de leur outil.

Capture d'écran de l'amnnonce du programme de bug bounty (Source: Bleepingcomputer)

Des récompenses seraient versées pour la découverte de failles sur le site web de Lockbit ou d'erreurs dans le processus de cryptage du ransomware. Ils seraient également prêts à récompenser des «idées brillantes» sur la manière d'améliorer leur site web et leur logiciel, ainsi que des informations sur leurs concurrents. Autant d’améliorations qui peuvent contribuer à protéger les cybercriminels des chercheurs en sécurité et des autorités de poursuite pénale.

Lockbit offre en outre un million de dollars à la personne qui découvrira la véritable identité d'un de ses propres cadres connu sous le nom de LockBitSupp et désigné comme «chef du programme de partenariat». Cette prime est offerte depuis le mois de mars 2022.