Hakerzy ransomware LockBit pojawiają się ponownie po ataku organów ścigania

Po niedawnym ataku ze strony organów ścigania, który tymczasowo zakłócił ich działalność , grupa ransomware LockBit ponownie pojawiła się w ciemnej sieci z nową energią. W ramach strategicznego posunięcia przenieśli swój portal do wycieków danych na nowy adres .onion w sieci TOR, przedstawiając 12 dodatkowych ofiar od czasu interwencji.

W szczegółowym komunikacie administrator LockBit potwierdził przejęcie niektórych ich witryn internetowych, przypisując naruszenie krytycznej luce w zabezpieczeniach PHP znanej jako CVE-2023-3824. Przyznali się do zaniedbania szybkiej aktualizacji PHP, powołując się na osobisty nadzór. Spekulując na temat metody infiltracji, zasugerowali wykorzystanie znanej luki, wyrażając niepewność związaną z wersją luki istniejącą wcześniej na ich serwerach.

Ponadto grupa twierdziła, że Federalne Biuro Śledcze Stanów Zjednoczonych (FBI) przeniknęło do jej infrastruktury w odpowiedzi na styczniowy atak oprogramowania ransomware na hrabstwo Fulton. Twierdzili, że skompromitowane dokumenty zawierały poufne informacje, w tym szczegóły dotyczące spraw prawnych Donalda Trumpa, które potencjalnie miały wpływ na przyszłe wybory w USA. Opowiadając się za częstszymi atakami na sektory rządowe, ujawnili, że przejęcie przez FBI ponad 1000 kluczy deszyfrujących ujawniło istnienie prawie 20 000 deszyfratorów, kładąc nacisk na ulepszone środki bezpieczeństwa mające na celu udaremnienie przyszłych przechwyceń.

Próbując podważyć wiarygodność organów ścigania, w poście podważono autentyczność zidentyfikowanych osób, zarzucając oszczerczą kampanię skierowaną przeciwko ich programowi partnerskiemu. Pomimo niepowodzenia grupa zobowiązała się do wzmocnienia swoich mechanizmów szyfrowania i przejścia na procesy ręcznego odszyfrowywania, aby zapobiec nieautoryzowanemu dostępowi władz w przyszłych przedsięwzięciach.

Tymczasem władze rosyjskie zatrzymały trzy osoby , w tym Aleksandra Nienadkiewicza Jermakowa, powiązanego z grupą zajmującą się oprogramowaniem ransomware SugarLocker. Działając pod przykrywką legalnej firmy informatycznej, podejrzani zajmowali się różnymi nielegalnymi działaniami, w tym tworzeniem niestandardowego złośliwego oprogramowania i organizowaniem schematów phishingowych w Rosji i krajach Wspólnoty Niepodległych Państw (WNP). SugarLocker, który pojawił się początkowo w 2021 r., przekształcił się w model oprogramowania ransomware jako usługi (RaaS), wynajmując swoje złośliwe oprogramowanie partnerom w celu namierzania i wdrażania ładunków ransomware.

Zatrzymanie Jermakowa jest znaczące i zbiega się z sankcjami finansowymi nałożonymi przez Australię, Wielką Brytanię i Stany Zjednoczone za jego rzekomy udział w ataku oprogramowania typu ransomware w 2022 r. na Medibank. Atak naruszył poufne dane milionów klientów, w tym dokumentację medyczną, które następnie były przedmiotem obrotu w ciemnej sieci. Ponadto odrębny cyberatak na systemy kontroli technologicznej, pozostawiający bez prądu liczne osady w regionie Wołogdy, podkreśla eskalację globalnej walki z zagrożeniami cybernetycznymi.