Хакеры-вымогатели LockBit вновь появляются после разоблачения правоохранительных органов

После недавних репрессий со стороны правоохранительных органов, которые временно прервали их работу , группа вымогателей LockBit вновь появилась в темной сети с новой силой. В качестве стратегического шага они перенесли свой портал утечки данных на новый адрес .onion в сети TOR, что выявило еще 12 жертв с момента вмешательства.

В подробном сообщении администратор LockBit признал факт захвата некоторых из своих веб-сайтов, объяснив это критической уязвимостью PHP, известной как CVE-2023-3824. Они признались, что пренебрегли своевременным обновлением PHP, сославшись на личный надзор. Рассуждая о методе проникновения, они намекнули на эксплуатацию известной уязвимости, выразив неуверенность в связи с уже существующей уязвимой версией на их серверах.

Кроме того, группа утверждала, что Федеральное бюро расследований США (ФБР) проникло в их инфраструктуру в ответ на атаку программы-вымогателя на округ Фултон в январе. Они утверждали, что скомпрометированные документы содержали конфиденциальную информацию, в том числе подробности судебных дел Дональда Трампа, что потенциально может повлиять на будущие выборы в США. Выступая за более частые атаки на государственный сектор, они сообщили, что изъятие ФБР более 1000 ключей дешифрования выявило существование почти 20 000 дешифраторов, подчеркнув усиленные меры безопасности для предотвращения перехвата в будущем.

В попытке подорвать доверие к правоохранительным органам публикация поставила под сомнение подлинность идентифицированных лиц, утверждая, что они ведут клеветническую кампанию против их партнерской программы. Несмотря на неудачу, группа пообещала усилить свои механизмы шифрования и перейти к процессам ручного дешифрования, чтобы предотвратить несанкционированный доступ властей в будущих усилиях.

Тем временем российские власти задержали трех человек , в том числе Александра Ненадкевича Ермакова, связанного с группой вымогателей SugarLocker. Действуя под видом законной ИТ-компании, подозреваемые занимались различной незаконной деятельностью, включая разработку специального вредоносного ПО и организацию фишинговых схем на территории России и стран Содружества Независимых Государств (СНГ). SugarLocker, первоначально появившийся в 2021 году, превратился в модель «программы-вымогатели как услуга» (RaaS), сдавая свое вредоносное программное обеспечение в аренду партнерам для обнаружения и развертывания полезных нагрузок программ-вымогателей.

Арест Ермакова имеет большое значение, поскольку он совпал с финансовыми санкциями, введенными Австралией, Великобританией и США за его предполагаемое участие в атаке с помощью программы-вымогателя на Medibank в 2022 году. В результате атаки были скомпрометированы конфиденциальные данные миллионов клиентов, включая медицинские записи, которые впоследствии стали продаваться в даркнете. Кроме того, отдельная кибератака на технологические системы управления, в результате которой остались без электричества многочисленные населенные пункты Вологодской области, подчеркивает эскалацию глобальной борьбы с киберугрозами.