แฮกเกอร์ LockBit Ransomware กลับมาอีกครั้งหลังจากการบังคับใช้กฎหมาย

หลังจากการปราบปรามเมื่อเร็วๆ นี้โดยหน่วยงานบังคับใช้กฎหมายที่ ทำให้การดำเนินงานหยุดชะงักชั่วคราว กลุ่ม มัลแวร์เรียกค่าไถ่ LockBit ก็กลับมาปรากฏบนเว็บมืดอีกครั้งด้วยความเข้มแข็งอีกครั้ง ในการเคลื่อนไหวเชิงกลยุทธ์ พวกเขาได้ย้ายพอร์ทัลข้อมูลรั่วไหลไปยังที่อยู่ .onion ใหม่บนเครือข่าย TOR ซึ่งแสดงเหยื่อเพิ่มเติม 12 รายนับตั้งแต่การแทรกแซง

ในการสื่อสารโดยละเอียด ผู้ดูแลระบบของ LockBit รับทราบการยึดเว็บไซต์บางส่วนของตน โดยระบุว่าการละเมิดเกิดจากช่องโหว่ PHP ที่สำคัญที่เรียกว่า CVE-2023-3824 พวกเขายอมรับว่าละเลยที่จะอัปเดต PHP ทันที โดยอ้างถึงการกำกับดูแลส่วนบุคคล จากการเก็งกำไรเกี่ยวกับวิธีการแทรกซึม พวกเขาบอกเป็นนัยถึงการใช้ประโยชน์จากช่องโหว่ที่ทราบ โดยแสดงความไม่แน่นอนเนื่องจากเวอร์ชันที่มีช่องโหว่ที่มีอยู่แล้วบนเซิร์ฟเวอร์ของพวกเขา

นอกจากนี้ กลุ่มดังกล่าวยังกล่าวหาว่าสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) แทรกซึมโครงสร้างพื้นฐานของตนเพื่อตอบสนองต่อการโจมตีแรนซัมแวร์ที่ Fulton County ในเดือนมกราคม พวกเขาอ้างว่าเอกสารที่ถูกบุกรุกมีข้อมูลที่ละเอียดอ่อน รวมถึงรายละเอียดเกี่ยวกับคดีทางกฎหมายของโดนัลด์ ทรัมป์ ซึ่งอาจส่งผลกระทบต่อการเลือกตั้งสหรัฐฯ ในอนาคต เพื่อเรียกร้องให้มีการโจมตีภาครัฐบ่อยขึ้น พวกเขาเปิดเผยว่าการยึดคีย์ถอดรหัสมากกว่า 1,000 คีย์ของ FBI เผยให้เห็นว่ามีตัวถอดรหัสเกือบ 20,000 ตัว โดยเน้นย้ำมาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุงเพื่อป้องกันการสกัดกั้นในอนาคต

ในความพยายามที่จะบ่อนทำลายความน่าเชื่อถือของการบังคับใช้กฎหมาย โพสต์ดังกล่าวได้ท้าทายความถูกต้องของบุคคลที่ระบุตัวบุคคล โดยกล่าวหาว่ามีการรณรงค์หมิ่นประมาทต่อโปรแกรมพันธมิตรของพวกเขา แม้จะมีความล้มเหลว กลุ่มบริษัทให้คำมั่นที่จะเสริมความแข็งแกร่งให้กับกลไกการเข้ารหัสและเปลี่ยนไปใช้กระบวนการถอดรหัสด้วยตนเองเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตจากเจ้าหน้าที่ในความพยายามในอนาคต

ในขณะเดียวกัน ทางการรัสเซียได้ จับกุมบุคคล 3 ราย รวมถึง Aleksandr Nenadkevichite Ermakov ที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ SugarLocker ปฏิบัติการภายใต้หน้ากากของบริษัทไอทีที่ถูกกฎหมาย ผู้ต้องสงสัยมีส่วนร่วมในกิจกรรมที่ผิดกฎหมายต่างๆ รวมถึงการพัฒนามัลแวร์ที่กำหนดเองและแผนการฟิชชิ่งทั่วรัสเซียและเครือรัฐเอกราช (CIS) SugarLocker ซึ่งเริ่มปรากฏตัวครั้งแรกในปี 2021 ได้พัฒนาไปสู่โมเดลแรนซัมแวร์-as-a-service (RaaS) โดยให้เช่าซอฟต์แวร์ที่เป็นอันตรายแก่พันธมิตรเพื่อกำหนดเป้าหมายและปรับใช้เพย์โหลดแรนซัมแวร์

การจับกุม Ermakov มีความสำคัญ โดยสอดคล้องกับมาตรการคว่ำบาตรทางการเงินที่กำหนดโดยออสเตรเลีย สหราชอาณาจักร และสหรัฐอเมริกา จากการถูกกล่าวหาว่ามีส่วนเกี่ยวข้องในการโจมตีแรนซัมแวร์ต่อ Medibank ในปี 2022 การโจมตีดังกล่าวได้ทำลายข้อมูลที่ละเอียดอ่อนของลูกค้าหลายล้านราย รวมถึงเวชระเบียน ซึ่งต่อมามีการซื้อขายบนเว็บมืด นอกจากนี้ การโจมตีทางไซเบอร์ที่แยกออกจากระบบควบคุมทางเทคโนโลยี ส่งผลให้การตั้งถิ่นฐานจำนวนมากในภูมิภาค Vologda ขาดอำนาจ ตอกย้ำถึงการต่อสู้ระดับโลกที่ทวีความรุนแรงขึ้นต่อภัยคุกคามทางไซเบอร์