LockBit Ransomware-hackere dukker opp igjen etter fjerning av rettshåndhevelse
Etter et nylig angrep fra rettshåndhevelsesbyråer som midlertidig forstyrret deres operasjoner , har LockBit løsepengevaregruppen dukket opp igjen på det mørke nettet med fornyet kraft. I et strategisk grep har de migrert datalekkasjeportalen sin til en ny .onion-adresse på TOR-nettverket, og viser 12 ekstra ofre siden intervensjonen.
I en detaljert kommunikasjon erkjente administratoren av LockBit beslaget av noen av nettstedene deres, og tilskrev bruddet til en kritisk PHP-sårbarhet kjent som CVE-2023-3824. De innrømmet å ha unnlatt å oppdatere PHP umiddelbart, med henvisning til personlig tilsyn. Spekulerte på metoden for infiltrasjon, antydet de utnyttelsen av den kjente sårbarheten, og uttrykte usikkerhet på grunn av den allerede eksisterende sårbare versjonen på serverne deres.
Videre påsto gruppen at US Federal Bureau of Investigation (FBI) infiltrerte deres infrastruktur som svar på et løsepenge-angrep på Fulton County i januar. De hevdet at de kompromitterte dokumentene inneholdt sensitiv informasjon, inkludert detaljer om Donald Trumps rettssaker, som potensielt kan påvirke fremtidige amerikanske valg. De tok til orde for hyppigere angrep på statlige sektorer, og avslørte at FBIs beslagleggelse av over 1000 dekrypteringsnøkler avslørte eksistensen av nesten 20.000 dekrypteringer, med vekt på forbedrede sikkerhetstiltak for å hindre fremtidige avlyttinger.
I et forsøk på å undergrave rettshåndhevelsens troverdighet, utfordret innlegget ektheten til de identifiserte personene, og påsto en svertekampanje mot deres tilknyttede program. Til tross for tilbakeslaget lovet gruppen å styrke krypteringsmekanismene sine og gå over til manuelle dekrypteringsprosesser for å forhindre uautorisert tilgang fra myndighetene i fremtidige bestrebelser.
I mellomtiden har russiske myndigheter pågrepet tre personer , inkludert Aleksandr Nenadkevichite Ermakov, tilknyttet SugarLocker løsepengevaregruppen. De mistenkte, som opererte under dekke av et legitimt IT-firma, engasjerte seg i ulike ulovlige aktiviteter, inkludert utvikling av tilpasset skadelig programvare og orkestrering av phishing-opplegg på tvers av Russland og Samveldet av uavhengige stater (CIS). SugarLocker, som først dukket opp i 2021, utviklet seg til en ransomware-as-a-service (RaaS)-modell, og leaset den ondsinnede programvaren til partnere for å målrette og distribuere løsepenge-nyttelaster.
Ermakovs arrestasjon er betydelig, sammenfallende med økonomiske sanksjoner pålagt av Australia, Storbritannia og USA for hans påståtte involvering i løsepengevareangrepet mot Medibank i 2022. Angrepet kompromitterte sensitive data fra millioner av kunder, inkludert medisinske journaler, som senere ble handlet på det mørke nettet. I tillegg understreker et separat cyberangrep på teknologiske kontrollsystemer, som etterlater mange bosetninger i Vologda-regionen uten strøm, den eskalerende globale kampen mot cybertrusler.