<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

Hello,

<div><br>

</div>

<div>I hope everyone is doing well!</div>

<div><br>

</div>

<div>Below is the entry for today.</div>

<div><br>

</div>

<div>09/19/2022 - Diary entry #597:</div>

<div><br>

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div>Covered in multiple of our Daily Diaries, most recently in our Daily Diary #527, Lockbit is one of the most dangerous ransomware groups active nowadays. Lockbit operates in the Ransomware-as-a-Service business model, selling its platform and malware to

 third-party attackers, that target multiple organizations in different countries and sectors. Lockbit wall-of-shame is one of the many monitored by our team, having new targets uploaded every week.

<div><br>

</div>

<div>In June this year, LockBit’s bug bounty program was announced along with its new ransomware version (3.0). LockBit’s bug bounty program, covered in our Daily Diary #541, offers rewards ranging from $1,000 to $1 million (USD) for reporting bugs in its website

 (cross-site scripting or XSS), locker (encryption), vulnerabilities in Tox messenger, and the Tor Network.</div>

<div><br>

</div>

<div>Late last week LockBit published on its wall-of-shame a blog post revealing that they paid their first bug bounty. An individual contacted LockBit claiming that a vulnerability in LockBit’s locker/cryptor allowed any .vmdk or .vhdx virtual hard disk files

 to be decrypted for free. After showing proof, LockBit’s “spokesperson“ paid the amount of $50.000 (USD) and thanked a supposed FBI agent/security company insider for the contribution.

</div>

<div><br>

</div>

<div>The post also contains screenshots of the conversation, where the individual reveals that Lockbit inherited a from BlackMatter encryption algorithm, allowing the key to be recovered on big files with lots of zeroes. This happens a lot on database dumps,

 disk backups, and virtual machine disk files – meaning that before the disclosure, a reverse engineering of the malware and encrypted files could allow the recovery of lots of valuable files without paying the ransom.</div>

<div><br>

</div>

Unfortunately, this incident may encourage more individuals to contribute to the Lockbit bug bounty program. On the other hand, with the disclosure, it is possible to recover (some) files from environments previously infected with Lockbit from companies that

 decided to not pay the ransom. Lockbit, like most ransomware families, inherits code from other malware – so reverse-engineering and finding vulnerabilities in this kind of threat can help hundreds of other victims to recover their files.<br>

</div>

</blockquote>

<div><br>

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>MART</strong><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

Malware Analysis and Research Team<br>

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

E:<span style="margin:0px"> <a href="mailto:ctas-mat@appgate.com" title="mailto:ctas-mat@appgate.com">

ctas-mat@appgate.com</a></span><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<span style="margin:0px; background-color:white"><br>

</span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>