LockBit Ransomware-hackare dyker upp igen efter brottsbekämpning

Efter ett tillslag nyligen av brottsbekämpande myndigheter som tillfälligt störde deras verksamhet , har LockBit ransomware- gruppen återuppstått på den mörka webben med förnyad kraft. I ett strategiskt drag har de migrerat sin dataläckageportal till en ny .onion-adress på TOR-nätverket, som visar upp ytterligare 12 offer sedan interventionen.

I en detaljerad kommunikation erkände administratören av LockBit beslagtagandet av några av deras webbplatser, och tillskrev intrånget till en kritisk PHP-sårbarhet känd som CVE-2023-3824. De erkände att de försummat att uppdatera PHP omgående, med hänvisning till personlig tillsyn. De spekulerade om metoden för infiltration och antydde utnyttjandet av den kända sårbarheten och uttryckte osäkerhet på grund av den redan existerande sårbara versionen på deras servrar.

Vidare hävdade gruppen att den amerikanska federala byrån för utredning (FBI) infiltrerade deras infrastruktur som svar på en ransomware-attack mot Fulton County i januari. De hävdade att de komprometterade dokumenten innehöll känslig information, inklusive detaljer om Donald Trumps rättsfall, som potentiellt kan påverka framtida amerikanska val. De förespråkade mer frekventa attacker mot statliga sektorer och avslöjade att FBI:s beslag av över 1 000 dekrypteringsnycklar avslöjade att det fanns nästan 20 000 dekrypteringsenheter, vilket betonade förbättrade säkerhetsåtgärder för att förhindra framtida avlyssningar.

I ett försök att undergräva brottsbekämpande trovärdighet, ifrågasatte inlägget äktheten hos de identifierade individerna, och påstod en smutskastningskampanj mot deras affiliate-program. Trots bakslaget lovade gruppen att stärka sina krypteringsmekanismer och övergå till manuella dekrypteringsprocesser för att förhindra obehörig åtkomst av myndigheter i framtida ansträngningar.

Samtidigt har ryska myndigheter gripit tre personer , inklusive Aleksandr Nenadkevichite Ermakov, associerad med SugarLocker ransomware-gruppen. De misstänkta arbetade under täckmanteln av ett legitimt IT-företag och engagerade sig i olika olagliga aktiviteter, inklusive utveckling av anpassad skadlig programvara och orkestrering av nätfiskesystem i Ryssland och samväldet av oberoende stater (CIS). SugarLocker, som ursprungligen växte fram 2021, utvecklades till en ransomware-as-a-service-modell (RaaS) och leasade ut sin skadliga programvara till partners för att rikta in sig på och distribuera ransomware-nyttolaster.

Ermakovs arrestering är betydande och sammanfaller med ekonomiska sanktioner som införts av Australien, Storbritannien och USA för hans påstådda inblandning i 2022 års ransomware-attack mot Medibank. Attacken äventyrade känslig data från miljontals kunder, inklusive medicinska journaler, som senare handlades på den mörka webben. Dessutom understryker en separat cyberattack mot tekniska kontrollsystem, som lämnar många bosättningar i Vologda-regionen utan ström, den eskalerande globala kampen mot cyberhot.