Хакери програм-вимагачів LockBit знову з’являються після ліквідації правоохоронними органами

Після нещодавнього придушення правоохоронними органами, які тимчасово призупинили їхню роботу , група програм-вимагачів LockBit знову з’явилася в темній мережі з новою силою. У рамках стратегічного кроку вони перенесли свій портал витоку даних на нову адресу .onion у мережі TOR, демонструючи 12 додаткових жертв після втручання.

У детальному повідомленні адміністратор LockBit визнав конфіскацію деяких їхніх веб-сайтів, пояснивши порушення критичною вразливістю PHP, відомою як CVE-2023-3824. Вони визнали, що знехтували своєчасним оновленням PHP, посилаючись на особистий нагляд. Говорячи про метод проникнення, вони натякали на використання відомої вразливості, висловлюючи невпевненість через наявну вразливу версію на їхніх серверах.

Крім того, група стверджувала, що Федеральне бюро розслідувань США (ФБР) проникло в їх інфраструктуру у відповідь на атаку програми-вимагача на округ Фултон у січні. Вони стверджували, що скомпрометовані документи містили конфіденційну інформацію, включаючи деталі судових справ Дональда Трампа, які потенційно можуть вплинути на майбутні вибори в США. Виступаючи за частіші атаки на урядові сектори, вони розкрили, що конфіскація ФБР понад 1000 ключів дешифрування виявила існування майже 20 000 дешифраторів, наголошуючи на посилених заходах безпеки для запобігання майбутнім перехопленням.

Намагаючись підірвати довіру до правоохоронних органів, публікація поставила під сумнів автентичність ідентифікованих осіб, стверджуючи про наклепницьку кампанію проти їхньої партнерської програми. Незважаючи на невдачу, група пообіцяла зміцнити свої механізми шифрування та перейти до ручних процесів дешифрування, щоб запобігти несанкціонованому доступу з боку органів влади в майбутньому.

Тим часом російська влада затримала трьох осіб , у тому числі Олександра Ненадкевичите Єрмакова, пов’язаного з групою програм-вимагачів SugarLocker. Діючи під прикриттям законної ІТ-компанії, підозрювані займалися різними незаконними діями, зокрема розробляли зловмисне програмне забезпечення на замовлення та організовували фішингові схеми в Росії та країнах Співдружності Незалежних Держав (СНД). SugarLocker, який спочатку з’явився у 2021 році, перетворився на модель програм-вимагачів як послуг (RaaS), надаючи своє шкідливе програмне забезпечення партнерам для націлювання та розгортання програм-вимагачів.

Арешт Єрмакова є значущим, оскільки він збігся з фінансовими санкціями, накладеними Австралією, Великою Британією та США за його ймовірну причетність до атаки програми-вимагача проти Medibank у 2022 році. Атака скомпрометувала конфіденційні дані мільйонів клієнтів, у тому числі медичні записи, які згодом торгувалися в темній мережі. Крім того, окрема кібератака на системи технологічного контролю, яка залишила знеструмленими численні населені пункти Вологодської області, підкреслює ескалацію глобальної боротьби з кіберзагрозами.