首个勒索软件漏洞赏金计划发布

是的，你没有看错标题，勒索软件组织也有了自己的漏洞赏金计划。

近日，勒索软件LockBit发布了“LockBit 3.0”，并启动了业界首个勒索软件漏洞赏金计划，并宣布支持采用Zcash加密货币支付赎金（此举可能导致Zcash从美国管辖的加密货币交易所下架）。

LockBit勒索软件组织于2019年启动，此后已发展成为最多产的勒索软件组织，占2022年5月所有已知勒索软件攻击的40%。

上周末，该网络犯罪团伙完成了为期两个月的beta测试后，发布了一个改进的勒索软件即服务(RaaS)，称为LockBit 3.0，新版本已用于攻击。

随着LockBit 3.0一同发布的，还包括该勒索软件团伙的首个漏洞赏金计划，要求安全研究人员提交漏洞报告以换取1000至100万美元的奖励。

“我们邀请地球上所有安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从1000美元到100万美元不等，”LockBit 3.0漏洞赏金页面上写道（下图）：

然而，这个漏洞赏金计划与合法公司的计划有点不同，因为在许多国家帮助犯罪企业是非法的。

此外，LockBit不仅为漏洞奖励提供赏金，而且还为改进勒索软件操作和对联盟项目经理进行人肉搜索的“绝妙想法”提供赏金。

以下是LockBit 3.0操作提供的各种漏洞赏金类别：

• 网站Bug：XSS漏洞，mysql注入，获取站点shell等等，将根据Bug的严重程度付费，主要方向是通过Bugs网站获取解密器，以及访问与目标公司的通信。
• Locker加密错误：导致文件损坏的任何加密错误或可能在没有解密器的情况下解密文件。
• 绝妙的创意：我们为创意付费，请写信告诉我们如何改进我们的网站和我们的软件，最好的创意将得到报酬。我们的竞争对手有哪些我们没有的有趣之处？
• Doxing人肉搜索：我们为任何能查出本勒索软件联盟组织负责人真实身份的人准备了100万美元酬劳。无论您是联邦调查局特工还是擅长人肉搜索的聪明黑客，您都可以用TOX私信我们，告诉我们老板的名字，并为此获得价值100万美元的比特币或门罗币。
• TOX messenger：TOX messenger的漏洞，可让您拦截通信、运行恶意软件、确定对话者的IP地址和其他有趣的漏洞。
• Tor网络：任何有助于在洋葱域名上获取安装站点的服务器的IP地址的漏洞，以及获得对我们服务器的root访问权限，然后是数据库转储和洋葱域名。

值得关注的是，LeMagIT公司的Valery Marchive发现，LockBit 3.0正在启用一种新的勒索模型——销售泄露数据（而不是常见的“免费”泄露）。

新的LockBit 3.0数据泄露网站使用的其中一个JavaScript文件显示了一个新的HTML模式对话框（下图），允许人们购买网站上泄露的数据。

新站点将直接销售数据，并提供通过Torrent或直接在网站上下载数据的功能。采用何种方式交付数据视被盗数据的大小而定，Torrent用于大数据转储和直接下载少量数据。

由于LockBit 3.0数据泄露站点目前不包含任何受害者，因此尚不清楚这种新的勒索策略将如何运作，甚至是否已启用。