Els pirates informàtics de LockBit Ransomware reapareixen després de la retirada de les forces de l'ordre

Després d'una repressió recent per part de les agències d'aplicació de la llei que van interrompre temporalment les seves operacions , el grup de ransomware LockBit ha ressorgit a la xarxa fosca amb un vigor renovat. En un moviment estratègic, han migrat el seu portal de filtracions de dades a una nova adreça .onion a la xarxa TOR, mostrant 12 víctimes addicionals des de la intervenció.

En una comunicació detallada, l'administrador de LockBit va reconèixer la confiscació d'alguns dels seus llocs web, atribuint la violació a una vulnerabilitat crítica de PHP coneguda com CVE-2023-3824. Van admetre que no van actualitzar PHP ràpidament, citant una supervisió personal. Especulant sobre el mètode d'infiltració, van deixar entreveure l'explotació de la vulnerabilitat coneguda, expressant incertesa a causa de la versió vulnerable preexistent als seus servidors.

A més, el grup va al·legar que l'Oficina Federal d'Investigacions (FBI) dels EUA es va infiltrar en la seva infraestructura en resposta a un atac de ransomware al comtat de Fulton al gener. Van afirmar que els documents compromesos contenien informació sensible, inclosos detalls sobre els casos legals de Donald Trump, que podrien afectar les futures eleccions nord-americanes. Advocant per atacs més freqüents als sectors governamentals, van revelar que la confiscació per part de l'FBI de més de 1.000 claus de desxifrat va revelar l'existència de prop de 20.000 desxifradors, posant èmfasi en mesures de seguretat millorades per frustrar futures intercepcions.

En un intent de soscavar la credibilitat de les forces de l'ordre, la publicació va desafiar l'autenticitat de les persones identificades, al·legant una campanya de desprestigi contra el seu programa d'afiliats. Malgrat el revés, el grup es va comprometre a reforçar els seus mecanismes de xifratge i a passar a processos de desxifrat manual per evitar l'accés no autoritzat de les autoritats en futurs esforços.

Mentrestant, les autoritats russes han detingut tres individus , inclòs Aleksandr Nenadkevichite Ermakov, associat al grup de ransomware SugarLocker. Operant sota l'aparença d'una empresa de TI legítima, els sospitosos van participar en diverses activitats il·lícites, com ara el desenvolupament de programari maliciós personalitzat i l'orquestració d'esquemes de pesca a Rússia i a les nacions de la Comunitat d'Estats Independents (CEI). SugarLocker, que va sorgir inicialment el 2021, va evolucionar cap a un model de ransomware com a servei (RaaS), arrendant el seu programari maliciós a socis per orientar i desplegar càrregues útils de ransomware.

La detenció d'Ermakov és significativa, coincidint amb les sancions financeres imposades per Austràlia, el Regne Unit i els EUA per la seva suposada participació en l'atac de ransomware del 2022 contra Medibank. L'atac va comprometre dades sensibles de milions de clients, inclosos els registres mèdics, que posteriorment es van comerciar a la web fosca. A més, un ciberatac separat als sistemes de control tecnològic, que deixa sense electricitat nombrosos assentaments a la regió de Vologda, posa de manifest l'escalada de la batalla global contra les amenaces cibernètiques.