Hackerii LockBit Ransomware reapar după eliminarea forțelor de ordine

În urma unei represiuni recente din partea agențiilor de aplicare a legii, care și-au întrerupt temporar operațiunile , grupul de ransomware LockBit a reapărut pe dark web cu o vigoare reînnoită. Într-o mișcare strategică, ei și-au migrat portalul de scurgeri de date la o nouă adresă .onion din rețeaua TOR, prezentând 12 victime suplimentare de la intervenție.

Într-o comunicare detaliată, administratorul LockBit a recunoscut confiscarea unora dintre site-urile lor web, atribuind încălcarea unei vulnerabilități PHP critice cunoscute sub numele de CVE-2023-3824. Ei au recunoscut că au neglijat să actualizeze PHP prompt, invocând supravegherea personală. Speculând cu privire la metoda de infiltrare, ei au făcut aluzie la exploatarea vulnerabilității cunoscute, exprimând incertitudinea din cauza versiunii vulnerabile preexistente pe serverele lor.

În plus, grupul a susținut că Biroul Federal de Investigații al SUA (FBI) sa infiltrat în infrastructura lor ca răspuns la un atac ransomware asupra județului Fulton în ianuarie. Aceștia au susținut că documentele compromise conțineau informații sensibile, inclusiv detalii despre cazurile legale ale lui Donald Trump, care ar putea avea un impact asupra viitoarelor alegeri din SUA. Pledând pentru atacuri mai frecvente asupra sectoarelor guvernamentale, aceștia au dezvăluit că confiscarea de către FBI a peste 1.000 de chei de decriptare a relevat existența a aproape 20.000 de decriptoare, subliniind măsuri de securitate îmbunătățite pentru a contracara viitoarele interceptări.

În încercarea de a submina credibilitatea forțelor de ordine, postarea a contestat autenticitatea persoanelor identificate, pretinzând o campanie de defăimare împotriva programului lor de afiliere. În ciuda eșecului, grupul s-a angajat să-și întărească mecanismele de criptare și să treacă la procesele de decriptare manuală pentru a preveni accesul neautorizat al autorităților în eforturile viitoare.

Între timp, autoritățile ruse au reținut trei persoane , inclusiv Aleksandr Nenadkevichite Ermakov, asociat cu grupul de ransomware SugarLocker. Funcționând sub masca unei firme IT legitime, suspecții s-au implicat în diferite activități ilicite, inclusiv dezvoltarea de programe malware personalizate și orchestrarea schemelor de phishing în Rusia și în țările CSI. SugarLocker, care a apărut inițial în 2021, a evoluat într-un model ransomware-as-a-service (RaaS), închiriind software-ul rău intenționat partenerilor pentru a viza și a implementa încărcături utile de ransomware.

Arestarea lui Ermakov este semnificativă, coincide cu sancțiunile financiare impuse de Australia, Regatul Unit și SUA pentru presupusa implicare a acestuia în atacul ransomware din 2022 împotriva Medibank. Atacul a compromis datele sensibile ale milioane de clienți, inclusiv dosarele medicale, tranzacționate ulterior pe dark web. În plus, un atac cibernetic separat asupra sistemelor de control tehnologic, lăsând fără energie numeroase așezări din regiunea Vologda, subliniază escaladarea luptei globale împotriva amenințărilor cibernetice.