LockBit勒索軟體首創舉辦抓漏獎勵計畫

近期駭客推出新版勒索軟體LockBit 3.0,同時推出勒索軟體界第一個抓漏獎勵計畫,LockBit官網公告邀請資安人員、白帽與黑帽駭客參與,獎金為1,000美元至100萬美元不等。抓漏項目包括官網漏洞、Lockbit勒索軟體漏洞、改善網站或軟體之建議、通訊軟體Tox之漏洞及Tor網路漏洞等,只要能找出Lockbit駭客組織首腦LockBitSupp之真實身分,即使FBI人員亦可獲得100萬美元獎賞。

Lockbit勒索軟體出現於2019年9月,2021年6月更新2.0版本,採用勒索軟體即服務(Ransomware-as-a-Service, RaaS),並於今年開始進行大規模攻擊,鴻海墨西哥工廠6月傳出為Lockbit 2.0受駭者之一。今年2月,FBI因LockBit 2.0之威脅性大增發出警告,並公告入侵指標(IoC)等技術細節。在Conti勒索軟體關閉服務後,Lockbit顯然已成為今年攻擊數量最多之勒索軟體,目前3.0版本除支付贖金方式增加,更允許駭客於暗網上拍賣所竊取之資料。
 

Reference

https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
https://twitter.com/vxunderground/status/1541156954214727685