Bug Bounty chez les pirates

Les pirates informatiques du groupe LockBit 3.0 annoncent les premières primes offertes dans leur Bug Bounty et remercient … un agent du FBI !

Le Bug Bounty, la chasse au bug, est un « concours » mis en place par une société qui souhaite faire appel, en toute l’égalité, à des hackers éthiques afin de lui remonter des vulnérabilités. En cas de découverte, la société verse une prime à l’inventeur de la faille : cadeau, argent, etc.

Chez les pirates, c’est pareil ! Les black hats du groupe LockBit 3.0 annonce les premières primes offertes dans leur Bug Bounty !

Le 6 juillet 2022, le premier paiement de prime de 50 000 dollars a été effectué. Un internaute a proposé ses services pour corriger une faille dans l’outil malveillant des pirates !

Le bug était qu’il était possible de décrypter gratuitement n’importe quel fichier vmdk ou vhdx, puisque le début de ces fichiers commençait par des zéros. « Afin de minimiser les dommages et l’impact des paiements pour le décrypteur de la part des entreprises actuellement attaquées, il a été décidé de reporter l’annonce publique du prix à ce jour. » explique les voyous ! En gros, si la faille avait été connue, plus de paiement pour LockBit 3.0.

Toujours aussi – troll -, LockBit remercie un agent du FBI « et contributeur Coverware, affiche LockBit, qui me tient au courant des dernières informations. Grâce aux informations d’initiés, nous avons appris les faiblesses et les bogues des systèmes de cryptage de nos concurrents. »

Ce n’est pas la première fois que des « internautes » souhaitent apporter leur aide à des groupes de ransomware. Nous avons connu les jeux concours mis en place par des groupes tels que Netwalker ou encore des dealers de coke ; je vous révélais, il y a 3 ans, comment des internautes proposaient leur service de traduction pour les messages des pirates du groupe Sodinokibi ; d’autres bug bounty existent chez les pirates comme j’ai pu vous le monter ici et là.