Hackeri LockBit Ransomware sa znovu objavujú po odstránení zo strany orgánov činných v trestnom konaní

Po nedávnom zásahu orgánov činných v trestnom konaní, ktoré dočasne prerušili ich prevádzku , sa ransomvérová skupina LockBit opäť objavila na temnom webe s novou silou. V rámci strategického kroku migrovali svoj portál na únik údajov na novú adresu .onion v sieti TOR, na ktorej je od zásahu ďalších 12 obetí.

V podrobnej komunikácii správca LockBit priznal zabavenie niektorých ich webových stránok, pričom porušenie pripísal kritickej zraniteľnosti PHP známej ako CVE-2023-3824. Priznali, že zanedbali rýchlu aktualizáciu PHP s odvolaním sa na osobný dohľad. Špekulovali o spôsobe infiltrácie, naznačili zneužitie známej zraniteľnosti a vyjadrili neistotu kvôli už existujúcej zraniteľnej verzii na ich serveroch.

Okrem toho skupina tvrdila, že americký Federálny úrad pre vyšetrovanie (FBI) infiltroval ich infraštruktúru v reakcii na ransomvérový útok na okres Fulton v januári. Tvrdili, že kompromitované dokumenty obsahujú citlivé informácie vrátane podrobností o právnych prípadoch Donalda Trumpa, ktoré môžu mať vplyv na budúce voľby v USA. Obhajujúc častejšie útoky na vládne sektory odhalili, že zabavenie viac ako 1 000 dešifrovacích kľúčov FBI odhalilo existenciu takmer 20 000 dešifrovačov, pričom zdôraznili vylepšené bezpečnostné opatrenia na zmarenie budúcich odpočúvaní.

V snahe podkopať dôveryhodnosť orgánov činných v trestnom konaní príspevok spochybnil pravosť identifikovaných osôb a tvrdil, že ide o očierňovaciu kampaň proti ich pridruženému programu. Napriek neúspechu sa skupina zaviazala posilniť svoje šifrovacie mechanizmy a prejsť na manuálne dešifrovacie procesy, aby v budúcnosti zabránila neoprávnenému prístupu úradov.

Medzitým ruské úrady zadržali troch jednotlivcov vrátane Aleksandra Nenadkevichite Ermakova, spojeného so skupinou ransomware SugarLocker. Podozriví pôsobiaci pod zámienkou legitímnej IT firmy sa zapájali do rôznych nezákonných aktivít vrátane vývoja vlastného malvéru a organizovania phishingových schém v Rusku a krajinách Spoločenstva nezávislých štátov (SNŠ). SugarLocker, ktorý sa pôvodne objavil v roku 2021, sa vyvinul do modelu ransomware-as-a-service (RaaS), ktorý prenajíma svoj škodlivý softvér partnerom na zacielenie a nasadenie dát ransomvéru.

Zatknutie Ermakova je významné a zhoduje sa s finančnými sankciami uvalenými Austráliou, Spojeným kráľovstvom a USA za jeho údajnú účasť na ransomvérovom útoku proti Medibank v roku 2022. Útok ohrozil citlivé údaje miliónov zákazníkov vrátane zdravotných záznamov, s ktorými sa následne obchodovalo na dark webe. Okrem toho samostatný kybernetický útok na technologické kontrolné systémy, ktorý ponecháva mnohé osady v regióne Vologda bez elektriny, podčiarkuje eskaláciu globálneho boja proti kybernetickým hrozbám.