LockBit Ransomware хакери се появяват отново след отстраняване от правоприлагащите органи

След неотдавнашни репресии от правоприлагащите органи, които временно прекъснаха техните операции , групата LockBit рансъмуер се появи отново в тъмната мрежа с нова сила. В стратегически ход те мигрираха своя портал за изтичане на данни към нов .onion адрес в мрежата TOR, показвайки 12 допълнителни жертви след намесата.

В подробно съобщение администраторът на LockBit призна конфискацията на някои от техните уебсайтове, приписвайки пробива на критична PHP уязвимост, известна като CVE-2023-3824. Те признаха, че са пропуснали своевременно да актуализират PHP, позовавайки се на личен надзор. Спекулирайки с метода на проникване, те намекнаха за използването на известната уязвимост, изразявайки несигурност поради съществуващата уязвима версия на техните сървъри.

Освен това групата твърди, че Федералното бюро за разследване на САЩ (ФБР) е проникнало в тяхната инфраструктура в отговор на атака на рансъмуер срещу окръг Фултън през януари. Те твърдят, че компрометираните документи съдържат чувствителна информация, включително подробности за съдебните дела на Доналд Тръмп, потенциално повлияващи на бъдещите избори в САЩ. Застъпвайки се за по-чести атаки срещу правителствени сектори, те разкриха, че изземването на над 1000 ключа за декриптиране от ФБР разкрива съществуването на близо 20 000 декриптора, като набляга на засилени мерки за сигурност за осуетяване на бъдещи прихващания.

В опит да подкопае доверието в правоприлагащите органи, публикацията оспори автентичността на идентифицираните лица, твърдейки клеветническа кампания срещу тяхната партньорска програма. Въпреки неуспеха, групата обеща да укрепи своите механизми за криптиране и да премине към процеси на ръчно декриптиране, за да предотврати неоторизиран достъп от страна на властите в бъдещи начинания.

Междувременно руските власти задържаха трима лица , включително Александър Ненадкевичите Ермаков, свързани с групата за рансъмуер SugarLocker. Работейки под прикритието на легитимна ИТ фирма, заподозрените са участвали в различни незаконни дейности, включително разработване на персонализиран зловреден софтуер и организиране на фишинг схеми в Русия и страните от Общността на независимите държави (ОНД). SugarLocker, първоначално появил се през 2021 г., еволюира в модел на рансъмуер като услуга (RaaS), отдавайки под наем своя злонамерен софтуер на партньори за насочване и внедряване на полезни натоварвания на рансъмуер.

Арестът на Ермаков е важен, съвпадащ с финансовите санкции, наложени от Австралия, Обединеното кралство и САЩ за предполагаемото му участие в атаката с рансъмуер срещу Medibank през 2022 г. Атаката компрометира чувствителни данни на милиони клиенти, включително медицински досиета, впоследствие търгувани в тъмната мрежа. Освен това, отделна кибератака срещу системи за технологичен контрол, оставяйки множество населени места в района на Вологода без електричество, подчертава ескалиращата глобална битка срещу киберзаплахите.