LockBit Ransomware-hackers duiken opnieuw op na het uitschakelen van de wetshandhaving

Na een recent optreden van wetshandhavingsinstanties die hun activiteiten tijdelijk verstoorden , is de LockBit-ransomwaregroep met hernieuwde kracht weer opgedoken op het dark web. In een strategische zet hebben ze hun datalekportaal gemigreerd naar een nieuw .onion-adres op het TOR-netwerk, waardoor sinds de interventie twaalf extra slachtoffers zichtbaar zijn.

In een gedetailleerd bericht erkende de beheerder van LockBit de inbeslagname van een aantal van hun websites, waarbij hij de inbreuk toeschreef aan een kritieke PHP-kwetsbaarheid bekend als CVE-2023-3824. Ze gaven toe dat ze verzuimden om PHP onmiddellijk te updaten, onder verwijzing naar persoonlijk toezicht. Speculerend over de infiltratiemethode wezen ze op de exploitatie van de bekende kwetsbaarheid, waarbij ze hun onzekerheid uitten vanwege de reeds bestaande kwetsbare versie op hun servers.

Bovendien beweerde de groep dat het Amerikaanse Federal Bureau of Investigation (FBI) hun infrastructuur had geïnfiltreerd als reactie op een ransomware-aanval op Fulton County in januari. Ze beweerden dat de gecompromitteerde documenten gevoelige informatie bevatten, waaronder details over de rechtszaken van Donald Trump, die mogelijk toekomstige Amerikaanse verkiezingen zouden kunnen beïnvloeden. Ze pleitten voor frequentere aanvallen op overheidssectoren en maakten bekend dat de inbeslagname door de FBI van meer dan 1.000 decryptiesleutels het bestaan van bijna 20.000 decryptiesleutels aan het licht bracht, waarbij de nadruk werd gelegd op verbeterde beveiligingsmaatregelen om toekomstige onderscheppingen te dwarsbomen.

In een poging de geloofwaardigheid van de wetshandhaving te ondermijnen, betwistte de post de authenticiteit van de geïdentificeerde personen, waarbij werd beweerd dat er sprake was van een lastercampagne tegen hun partnerprogramma. Ondanks de tegenslag beloofde de groep hun encryptiemechanismen te versterken en over te stappen op handmatige decryptieprocessen om ongeoorloofde toegang door autoriteiten bij toekomstige inspanningen te voorkomen.

Ondertussen hebben de Russische autoriteiten drie personen aangehouden , waaronder Aleksandr Nenadkevichite Ermakov, die banden hebben met de SugarLocker-ransomwaregroep. De verdachten opereerden onder het mom van een legitiem IT-bedrijf en hielden zich bezig met verschillende illegale activiteiten, waaronder het ontwikkelen van aangepaste malware en het orkestreren van phishing-programma's in heel Rusland en het Gemenebest van Onafhankelijke Staten (GOS). SugarLocker, dat voor het eerst in 2021 opkwam, evolueerde naar een ransomware-as-a-service (RaaS)-model, waarbij zijn kwaadaardige software werd verhuurd aan partners voor het richten en inzetten van ransomware-payloads.

De arrestatie van Ermakov is aanzienlijk en valt samen met financiële sancties die zijn opgelegd door Australië, het VK en de VS vanwege zijn vermeende betrokkenheid bij de ransomware-aanval op Medibank in 2022. De aanval bracht gevoelige gegevens van miljoenen klanten in gevaar, waaronder medische dossiers, die vervolgens op het dark web werden verhandeld. Bovendien onderstreept een afzonderlijke cyberaanval op technologische controlesystemen, waardoor talloze nederzettingen in de Vologda-regio zonder stroom komen te zitten, de escalerende mondiale strijd tegen cyberdreigingen.