Tin tặc ransomware LockBit tái xuất sau khi triệt phá cơ quan thực thi pháp luật

Sau một cuộc đàn áp gần đây của các cơ quan thực thi pháp luật khiến hoạt động của họ tạm thời bị gián đoạn , nhóm ransomware LockBit đã xuất hiện trở lại trên web đen với sức sống mới. Trong một động thái chiến lược, họ đã di chuyển cổng rò rỉ dữ liệu của mình sang địa chỉ .onion mới trên mạng TOR, hiển thị thêm 12 nạn nhân kể từ khi can thiệp.

Trong một thông báo chi tiết, quản trị viên của LockBit đã thừa nhận việc thu giữ một số trang web của họ, cho rằng lỗ hổng PHP nghiêm trọng có tên CVE-2023-3824 đã vi phạm. Họ thừa nhận đã bỏ qua việc cập nhật PHP kịp thời với lý do giám sát cá nhân. Suy đoán về phương pháp xâm nhập, họ ám chỉ việc khai thác lỗ hổng đã biết, bày tỏ sự không chắc chắn do phiên bản dễ bị tấn công đã tồn tại từ trước trên máy chủ của họ.

Hơn nữa, nhóm này còn cáo buộc rằng Cục Điều tra Liên bang Hoa Kỳ (FBI) đã xâm nhập vào cơ sở hạ tầng của họ để đáp trả cuộc tấn công bằng ransomware vào Quận Fulton vào tháng 1. Họ tuyên bố rằng các tài liệu bị xâm phạm chứa thông tin nhạy cảm, bao gồm thông tin chi tiết về các vụ kiện pháp lý của Donald Trump, có khả năng ảnh hưởng đến các cuộc bầu cử Mỹ trong tương lai. Ủng hộ các cuộc tấn công thường xuyên hơn vào các khu vực chính phủ, họ tiết lộ rằng việc FBI thu giữ hơn 1.000 khóa giải mã cho thấy sự tồn tại của gần 20.000 bộ giải mã, nhấn mạnh các biện pháp an ninh nâng cao để ngăn chặn các hoạt động chặn trong tương lai.

Trong nỗ lực làm suy yếu uy tín của cơ quan thực thi pháp luật, bài đăng đã thách thức tính xác thực của các cá nhân được xác định, cáo buộc một chiến dịch bôi nhọ chương trình liên kết của họ. Bất chấp thất bại, nhóm đã cam kết củng cố cơ chế mã hóa của họ và chuyển sang quy trình giải mã thủ công để ngăn chặn sự truy cập trái phép của chính quyền trong những nỗ lực trong tương lai.

Trong khi đó, chính quyền Nga đã bắt giữ ba cá nhân , trong đó có Aleksandr Nenadkevichite Ermkov, có liên quan đến nhóm ransomware SugarLocker. Hoạt động dưới vỏ bọc của một công ty CNTT hợp pháp, các nghi phạm đã tham gia vào nhiều hoạt động bất hợp pháp khác nhau, bao gồm phát triển phần mềm độc hại tùy chỉnh và dàn dựng các kế hoạch lừa đảo trên khắp Nga và các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS). SugarLocker, ban đầu xuất hiện vào năm 2021, đã phát triển thành mô hình ransomware-as-a-service (RaaS), cho các đối tác thuê phần mềm độc hại của mình để nhắm mục tiêu và triển khai tải trọng ransomware.

Vụ bắt giữ Ermkov có ý nghĩa quan trọng, trùng với các lệnh trừng phạt tài chính do Úc, Anh và Mỹ áp đặt vì cáo buộc ông liên quan đến vụ tấn công ransomware năm 2022 nhằm vào Medibank. Cuộc tấn công đã xâm phạm dữ liệu nhạy cảm của hàng triệu khách hàng, bao gồm cả hồ sơ y tế, sau đó được giao dịch trên web đen. Ngoài ra, một cuộc tấn công mạng riêng biệt nhằm vào các hệ thống kiểm soát công nghệ, khiến nhiều khu định cư ở vùng Vologda bị mất điện, nhấn mạnh cuộc chiến toàn cầu đang leo thang chống lại các mối đe dọa mạng.