Gli hacker del ransomware LockBit riemergono dopo la rimozione delle forze dell'ordine

A seguito di un recente giro di vite da parte delle forze dell'ordine che hanno temporaneamente interrotto le loro operazioni , il gruppo ransomware LockBit è riemerso sul dark web con rinnovato vigore. Con una mossa strategica, hanno migrato il loro portale di fuga di dati su un nuovo indirizzo .onion sulla rete TOR, mostrando altre 12 vittime dall'intervento.

In una comunicazione dettagliata, l'amministratore di LockBit ha riconosciuto il sequestro di alcuni dei loro siti web, attribuendo la violazione ad una vulnerabilità critica di PHP nota come CVE-2023-3824. Hanno ammesso di aver trascurato di aggiornare tempestivamente PHP, citando una supervisione personale. Speculando sulla modalità di infiltrazione, hanno accennato allo sfruttamento della vulnerabilità nota, esprimendo incertezza a causa della versione vulnerabile preesistente sui loro server.

Inoltre, il gruppo ha affermato che il Federal Bureau of Investigation (FBI) degli Stati Uniti si è infiltrato nella loro infrastruttura in risposta a un attacco ransomware nella contea di Fulton a gennaio. Sostenevano che i documenti compromessi contenevano informazioni sensibili, inclusi dettagli sui casi legali di Donald Trump, che avrebbero potuto avere un impatto sulle future elezioni statunitensi. Sostenendo attacchi più frequenti ai settori governativi, hanno rivelato che il sequestro da parte dell'FBI di oltre 1.000 chiavi di decrittazione ha rivelato l'esistenza di quasi 20.000 decrittatori, sottolineando misure di sicurezza rafforzate per contrastare future intercettazioni.

Nel tentativo di minare la credibilità delle forze dell'ordine, il post ha messo in discussione l'autenticità delle persone identificate, adducendo una campagna diffamatoria contro il loro programma di affiliazione. Nonostante la battuta d’arresto, il gruppo si è impegnato a rafforzare i propri meccanismi di crittografia e a passare a processi di decrittazione manuali per impedire l’accesso non autorizzato da parte delle autorità nelle attività future.

Nel frattempo, le autorità russe hanno arrestato tre persone , tra cui Aleksandr Nenadkevichite Ermakov, associato al gruppo ransomware SugarLocker. Operando sotto le mentite spoglie di un'azienda informatica legittima, i sospettati si sono impegnati in varie attività illecite, tra cui lo sviluppo di malware personalizzati e l'orchestrazione di schemi di phishing in Russia e nei paesi della Comunità degli Stati Indipendenti (CSI). SugarLocker, inizialmente emerso nel 2021, si è evoluto in un modello ransomware-as-a-service (RaaS), affittando il suo software dannoso ai partner per prendere di mira e distribuire payload ransomware.

L'arresto di Ermakov è significativo, in coincidenza con le sanzioni finanziarie imposte da Australia, Regno Unito e Stati Uniti per il suo presunto coinvolgimento nell'attacco ransomware del 2022 contro Medibank. L’attacco ha compromesso i dati sensibili di milioni di clienti, comprese le cartelle cliniche, successivamente scambiati sul dark web. Inoltre, un attacco informatico separato ai sistemi di controllo tecnologico, che ha lasciato senza elettricità numerosi insediamenti nella regione di Vologda, sottolinea l’escalation della battaglia globale contro le minacce informatiche.