Οι χάκερς LockBit Ransomware επανεμφανίζονται μετά την κατάργηση της επιβολής του νόμου

Μετά από μια πρόσφατη καταστολή από τις υπηρεσίες επιβολής του νόμου που διέκοψαν προσωρινά τις δραστηριότητές τους , η ομάδα ransomware LockBit επανεμφανίστηκε στον σκοτεινό ιστό με ανανεωμένο σθένος. Σε μια στρατηγική κίνηση, μετέφεραν την πύλη διαρροής δεδομένων τους σε μια νέα διεύθυνση .onion στο δίκτυο TOR, παρουσιάζοντας 12 επιπλέον θύματα μετά την παρέμβαση.

Σε μια λεπτομερή επικοινωνία, ο διαχειριστής της LockBit αναγνώρισε την κατάσχεση ορισμένων από τις ιστοσελίδες τους, αποδίδοντας την παραβίαση σε μια κρίσιμη ευπάθεια PHP γνωστή ως CVE-2023-3824. Παραδέχτηκαν ότι αμέλησαν να ενημερώσουν την PHP αμέσως, επικαλούμενοι προσωπική επίβλεψη. Εικασίες για τη μέθοδο διείσδυσης άφησαν να εννοηθεί η εκμετάλλευση της γνωστής ευπάθειας, εκφράζοντας αβεβαιότητα λόγω της προϋπάρχουσας ευάλωτης έκδοσης στους διακομιστές τους.

Επιπλέον, η ομάδα ισχυρίστηκε ότι το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) διείσδυσε στην υποδομή τους ως απάντηση σε μια επίθεση ransomware στην κομητεία Fulton τον Ιανουάριο. Ισχυρίστηκαν ότι τα παραβιασμένα έγγραφα περιείχαν ευαίσθητες πληροφορίες, συμπεριλαμβανομένων λεπτομερειών για τις νομικές υποθέσεις του Ντόναλντ Τραμπ, οι οποίες ενδέχεται να επηρεάσουν τις μελλοντικές εκλογές στις ΗΠΑ. Υποστηρίζοντας για πιο συχνές επιθέσεις σε κυβερνητικούς τομείς, αποκάλυψαν ότι η κατάσχεση περισσότερων από 1.000 κλειδιών αποκρυπτογράφησης από το FBI αποκάλυψε την ύπαρξη σχεδόν 20.000 αποκρυπτογραφητών, δίνοντας έμφαση στα ενισχυμένα μέτρα ασφαλείας για την αποτροπή μελλοντικών υποκλοπών.

Σε μια προσπάθεια να υπονομεύσει την αξιοπιστία των αρχών επιβολής του νόμου, η ανάρτηση αμφισβήτησε την αυθεντικότητα των προσώπων που ταυτοποιήθηκαν, ισχυριζόμενη μια εκστρατεία συκοφαντικής δυσφήμισης κατά του προγράμματος συνεργατών τους. Παρά την οπισθοδρόμηση, η ομάδα δεσμεύτηκε να ενισχύσει τους μηχανισμούς κρυπτογράφησης και τη μετάβαση σε διαδικασίες χειροκίνητης αποκρυπτογράφησης για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση από τις αρχές σε μελλοντικές προσπάθειες.

Εν τω μεταξύ, οι ρωσικές αρχές συνέλαβαν τρία άτομα , συμπεριλαμβανομένου του Aleksandr Nenadkevichite Ermakov, που σχετίζονται με την ομάδα ransomware SugarLocker. Λειτουργώντας υπό το πρόσχημα μιας νόμιμης εταιρείας πληροφορικής, οι ύποπτοι συμμετείχαν σε διάφορες παράνομες δραστηριότητες, συμπεριλαμβανομένης της ανάπτυξης προσαρμοσμένου κακόβουλου λογισμικού και της ενορχήστρωσης σχημάτων phishing σε ολόκληρη τη Ρωσία και τα έθνη της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS). Το SugarLocker, που εμφανίστηκε αρχικά το 2021, εξελίχθηκε σε μοντέλο ransomware-as-a-service (RaaS), εκμισθώνοντας το κακόβουλο λογισμικό του σε συνεργάτες για τη στόχευση και την ανάπτυξη ωφέλιμων φορτίων ransomware.

Η σύλληψη του Ermakov είναι σημαντική, καθώς συμπίπτει με τις οικονομικές κυρώσεις που επιβλήθηκαν από την Αυστραλία, το Ηνωμένο Βασίλειο και τις ΗΠΑ για την υποτιθέμενη συμμετοχή του στην επίθεση ransomware του 2022 κατά της Medibank. Η επίθεση έθεσε σε κίνδυνο ευαίσθητα δεδομένα εκατομμυρίων πελατών, συμπεριλαμβανομένων των ιατρικών αρχείων, τα οποία στη συνέχεια διακινήθηκαν στον σκοτεινό ιστό. Επιπλέον, μια ξεχωριστή κυβερνοεπίθεση σε συστήματα τεχνολογικού ελέγχου, αφήνοντας πολλούς οικισμούς στην περιοχή Vologda χωρίς ρεύμα, υπογραμμίζει την κλιμακούμενη παγκόσμια μάχη κατά των απειλών στον κυβερνοχώρο.