LockBit Ransomware-hackere dukker op igen efter lovhåndhævelse
Efter et nyligt nedslag fra retshåndhævende myndigheder, der midlertidigt forstyrrede deres operationer , er LockBit ransomware- gruppen dukket op igen på det mørke web med fornyet kraft. I et strategisk træk har de migreret deres datalæk-portal til en ny .onion-adresse på TOR-netværket, der viser 12 yderligere ofre siden interventionen.
I en detaljeret meddelelse anerkendte administratoren af LockBit beslaglæggelsen af nogle af deres websteder og tilskrev bruddet til en kritisk PHP-sårbarhed kendt som CVE-2023-3824. De indrømmede at have forsømt at opdatere PHP omgående, med henvisning til personligt tilsyn. De spekulerede på infiltrationsmetoden og antydede udnyttelsen af den kendte sårbarhed og udtrykte usikkerhed på grund af den allerede eksisterende sårbare version på deres servere.
Desuden hævdede gruppen, at US Federal Bureau of Investigation (FBI) infiltrerede deres infrastruktur som svar på et ransomware-angreb på Fulton County i januar. De hævdede, at de kompromitterede dokumenter indeholdt følsomme oplysninger, herunder detaljer om Donald Trumps retssager, som potentielt kunne påvirke fremtidige amerikanske valg. De talte for hyppigere angreb på offentlige sektorer og afslørede, at FBI's beslaglæggelse af over 1.000 dekrypteringsnøgler afslørede eksistensen af næsten 20.000 dekrypteringer, hvilket understregede forbedrede sikkerhedsforanstaltninger for at forhindre fremtidige aflytninger.
I et forsøg på at underminere retshåndhævelses troværdighed udfordrede indlægget ægtheden af de identificerede personer, idet de påstod en smædekampagne mod deres affilierede program. På trods af tilbageslaget lovede gruppen at styrke deres krypteringsmekanismer og gå over til manuelle dekrypteringsprocesser for at forhindre uautoriseret adgang fra myndighederne i fremtidige bestræbelser.
I mellemtiden har russiske myndigheder pågrebet tre personer , inklusive Aleksandr Nenadkevichite Ermakov, tilknyttet SugarLocker ransomware-gruppen. De mistænkte, der opererede under dække af et legitimt it-firma, engagerede sig i forskellige ulovlige aktiviteter, herunder udvikling af tilpasset malware og orkestrering af phishing-ordninger på tværs af Rusland og Commonwealth of Independent States (CIS) nationer. SugarLocker, der oprindeligt dukkede op i 2021, udviklede sig til en ransomware-as-a-service (RaaS)-model, der leasede sin ondsindede software til partnere for at målrette og implementere ransomware-nyttelaster.
Ermakovs arrestation er betydelig, hvilket falder sammen med økonomiske sanktioner pålagt af Australien, Storbritannien og USA for hans påståede involvering i ransomware-angrebet mod Medibank i 2022. Angrebet kompromitterede følsomme data fra millioner af kunder, herunder lægejournaler, som efterfølgende blev handlet på det mørke web. Derudover understreger et separat cyberangreb på teknologiske kontrolsystemer, der efterlader adskillige bosættelser i Vologda-regionen uden strøm, den eskalerende globale kamp mod cybertrusler.