Os Hackers do LockBit Ransomware Ressurgem após Terem Sido Derrubados pelas Autoridades

Após uma recente repressão por parte das agências de aplicação da lei que interrompeu temporariamente as suas operações, o grupo de ransomware LockBit ressurgiu na dark web com vigor renovado. Num movimento estratégico, migraram o seu portal de fuga de dados para um novo endereço .onion na rede TOR, apresentando 12 vítimas adicionais desde a intervenção.

Em uma comunicação detalhada, o administrador do LockBit reconheceu a apreensão de alguns de seus sites, atribuindo a violação a uma vulnerabilidade crítica do PHP conhecida como CVE-2023-3824. Eles admitiram ter negligenciado a atualização imediata do PHP, alegando supervisão pessoal. Especulando sobre o método de infiltração, insinuaram a exploração da vulnerabilidade conhecida, expressando incerteza devido à versão vulnerável pré-existente em seus servidores.

Além disso, o grupo alegou que o Federal Bureau of Investigation (FBI) dos EUA se infiltrou na sua infraestrutura em resposta a um ataque de ransomware no condado de Fulton em janeiro. Alegaram que os documentos comprometidos continham informações sensíveis, incluindo detalhes sobre os processos judiciais de Donald Trump, potencialmente impactando futuras eleições nos EUA. Defendendo ataques mais frequentes a sectores governamentais, revelaram que a apreensão pelo FBI de mais de 1.000 chaves de desencriptação revelou a existência de quase 20.000 desencriptadores, enfatizando medidas de segurança reforçadas para impedir futuras intercepções.

Numa tentativa de minar a credibilidade das autoridades policiais, o post desafiou a autenticidade dos indivíduos identificados, alegando uma campanha difamatória contra o seu programa de afiliados. Apesar do revés, o grupo comprometeu-se a fortalecer os seus mecanismos de encriptação e a fazer a transição para processos de desencriptação manual para evitar o acesso não autorizado por parte das autoridades em esforços futuros.

Enquanto isso, as autoridades russas prenderam três indivíduos, incluindo Aleksandr Nenadkevichite Ermakov, associados ao grupo de ransomware SugarLocker. Operando sob o disfarce de uma empresa de TI legítima, os suspeitos envolveram-se em diversas atividades ilícitas, incluindo o desenvolvimento de malware personalizado e a orquestração de esquemas de phishing em toda a Rússia e nos países da Comunidade de Estados Independentes (CEI). O SugarLocker, que surgiu inicialmente em 2021, evoluiu para um modelo de ransomware como serviço (RaaS), alugando seu software malicioso a parceiros para direcionar e implantar cargas úteis de ransomware.

A prisão de Ermakov é significativa, coincidindo com as sanções financeiras impostas pela Austrália, pelo Reino Unido e pelos EUA pelo seu alegado envolvimento no ataque de ransomware de 2022 contra o Medibank. O ataque comprometeu dados confidenciais de milhões de clientes, incluindo registros médicos, posteriormente negociados na dark web. Além disso, um ataque cibernético separado aos sistemas de controlo tecnológico, deixando sem energia numerosos assentamentos na região de Vologda, sublinha a crescente batalha global contra as ameaças cibernéticas.