LockBit Ransomware -hakkerit ilmaantuivat uudelleen lainvalvontatoimenpiteiden jälkeen

Lainvalvontaviranomaisten äskettäisen toiminnan keskeyttäneen tukahdutuksen jälkeen LockBit ransomware -ryhmä on noussut pimeään verkkoon uudella voimalla. Strategisena toimenpiteenä he ovat siirtäneet tietovuotoportaalinsa uuteen .onion-osoitteeseen TOR-verkossa ja esitelleet 12 uutta uhria väliintulon jälkeen.

Yksityiskohtaisessa tiedonannossa LockBitin järjestelmänvalvoja myönsi joidenkin heidän verkkosivustojensa takavarikoinnin ja katsoi, että tietomurron syynä oli kriittinen PHP-haavoittuvuus, joka tunnetaan nimellä CVE-2023-3824. He myönsivät laiminlyöneensä PHP:n päivittämisen viipymättä henkilökohtaiseen valvontaansa vedoten. Spekuloiden tunkeutumismenetelmällä he vihjasivat tunnetun haavoittuvuuden hyödyntämiseen ja ilmaisivat epävarmuutta palvelimillaan jo olemassa olevan haavoittuvan version vuoksi.

Lisäksi ryhmä väitti, että Yhdysvaltain liittovaltion tutkintavirasto (FBI) soluttautui heidän infrastruktuuriinsa vastauksena Fulton Countyyn tammikuussa tapahtuneeseen kiristysohjelmahyökkäykseen. He väittivät, että vaarantuneet asiakirjat sisälsivät arkaluontoista tietoa, mukaan lukien tiedot Donald Trumpin oikeustapauksista, jotka voivat vaikuttaa tuleviin Yhdysvaltain vaaleihin. Puolustaessaan useammin hyökkäyksiä valtion sektoreihin, he paljastivat, että FBI:n yli 1 000 salauksenpurkuavaimen takavarikointi paljasti lähes 20 000 salauksen purkajan olemassaolon, mikä korosti tehostettuja turvatoimia tulevien sieppausten estämiseksi.

Yrittäessään heikentää lainvalvontaviranomaisten uskottavuutta viesti kyseenalaisti tunnistettujen henkilöiden aitouden väittäen heidän kumppaniohjelmaan kohdistuneen herjauskampanjan. Takaiskusta huolimatta ryhmä lupasi vahvistaa salausmekanismejaan ja siirtyä manuaalisiin salauksenpurkuprosesseihin estääkseen viranomaisten luvattoman pääsyn tuleviin pyrkimyksiin.

Sillä välin Venäjän viranomaiset ovat pidättäneet kolme henkilöä , mukaan lukien Aleksandr Nenadkevitšite Ermakovin, joka liittyy SugarLocker-lunastusohjelmaryhmään. Epäillyt toimivat laillisen IT-yrityksen varjolla ja osallistuivat erilaisiin laittomiin toimiin, mukaan lukien räätälöityjen haittaohjelmien kehittäminen ja tietojenkalastelujärjestelmien järjestäminen Venäjällä ja IVY-maissa. SugarLocker, joka ilmestyi alun perin vuonna 2021, kehittyi ransomware-as-a-service (RaaS) -malliksi, joka vuokrasi haittaohjelmistonsa kumppaneille ransomware-hyötykuormien kohdistamista ja käyttöönottoa varten.

Ermakovin pidätys on merkittävä, ja samaan aikaan Australian, Iso-Britannian ja Yhdysvaltojen asettamien taloudellisten sanktioiden kanssa hänen väitetystä osallisuudestaan vuoden 2022 kiristysohjelmahyökkäykseen Medibankia vastaan. Hyökkäys vaaransi miljoonien asiakkaiden arkaluontoiset tiedot, mukaan lukien potilastiedot, joita myöhemmin vaihdettiin pimeässä verkossa. Lisäksi erillinen kyberhyökkäys teknisiä valvontajärjestelmiä vastaan, joka jättää useita Vologdan alueen siirtokuntia ilman sähköä, korostaa kiihtyvää maailmanlaajuista taistelua kyberuhkia vastaan.