Hekerji izsiljevalske programske opreme LockBit se znova pojavijo po odstranitvi s strani organov pregona

Po nedavnem zatiranju s strani organov kazenskega pregona, ki je začasno prekinil njihovo delovanje , se je skupina izsiljevalske programske opreme LockBit znova pojavila na temnem spletu s prenovljeno močjo. S strateško potezo so svoj portal za uhajanje podatkov preselili na nov naslov .onion v omrežju TOR in prikazali 12 dodatnih žrtev od intervencije.

V podrobnem sporočilu je skrbnik LockBita potrdil zaseg nekaterih njihovih spletnih mest, pri čemer je kršitev pripisal kritični ranljivosti PHP, znani kot CVE-2023-3824. Priznali so, da niso nemudoma posodobili PHP, pri čemer so navedli osebni nadzor. Pri špekulacijah o načinu infiltracije so namigovali na izkoriščanje znane ranljivosti, pri čemer so izrazili negotovost zaradi že obstoječe različice ranljivosti na njihovih strežnikih.

Poleg tega je skupina trdila, da se je ameriški Zvezni preiskovalni urad (FBI) infiltriral v njihovo infrastrukturo kot odgovor na napad z izsiljevalsko programsko opremo na okrožje Fulton januarja. Trdili so, da so ogroženi dokumenti vsebovali občutljive informacije, vključno s podrobnostmi o pravnih primerih Donalda Trumpa, ki bi lahko vplivali na prihodnje volitve v ZDA. Zavzemajo se za pogostejše napade na vladne sektorje in so razkrili, da je FBI-jev zaseg več kot 1000 ključev za dešifriranje razkril obstoj skoraj 20.000 dekriptorjev, s poudarkom na okrepljenih varnostnih ukrepih za preprečitev prestrezanja v prihodnosti.

V poskusu spodkopavanja verodostojnosti organov kazenskega pregona je objava izpodbijala pristnost identificiranih posameznikov z domnevno kampanjo blatenja njihovega pridruženega programa. Kljub neuspehu se je skupina zavezala, da bo okrepila svoje mehanizme šifriranja in prešla na postopke ročnega dešifriranja, da bi preprečila nepooblaščen dostop organov v prihodnjih prizadevanjih.

Medtem so ruske oblasti prijele tri osebe , vključno z Aleksandrom Nenadkevichite Ermakovom, povezane s skupino izsiljevalske programske opreme SugarLocker. Osumljenci, ki so delovali pod krinko zakonitega IT podjetja, so se ukvarjali z različnimi nezakonitimi dejavnostmi, vključno z razvojem zlonamerne programske opreme po meri in orkestriranjem lažnega predstavljanja po vsej Rusiji in državah Skupnosti neodvisnih držav (CIS). SugarLocker, ki se je prvotno pojavil leta 2021, se je razvil v model izsiljevalske programske opreme kot storitve (RaaS), pri čemer svojo zlonamerno programsko opremo daje v najem partnerjem za ciljanje in uvajanje izsiljevalske programske opreme.

Aretacija Ermakova je pomembna, saj sovpada s finančnimi sankcijami, ki so jih uvedle Avstralija, Združeno kraljestvo in ZDA zaradi njegove domnevne vpletenosti v napad z izsiljevalsko programsko opremo leta 2022 na Medibank. Napad je ogrozil občutljive podatke milijonov strank, vključno z zdravstvenimi kartotekami, s katerimi se je nato trgovalo na temnem spletu. Poleg tega ločen kibernetski napad na sisteme tehnološkega nadzora, zaradi katerega so številna naselja v regiji Vologda ostala brez električne energije, poudarja stopnjevanje svetovnega boja proti kibernetskim grožnjam.