Banda LockBit își relansează operațiunea de ransomware pe o nouă infrastructură mai puțin de o săptămână după ce autoritățile au spart serverele lor și amenință să-și concentreze atacurile mai mult pe sectorul guvernamental.
Într-un mesaj sub o scurgere fictivă FBI – special pentru a atrage atenția, banda a publicat un mesaj lung despre neglijența lor care a permis breșa și planurile operaționale pentru viitor.
Sâmbătă, LockBit a anunțat că își reia afacerea de ransomware și a lansat o comunicare de control al daunelor recunoscând că „neglijența personală și lipsa de responsabilitate” a condus la perturbarea activității sale în Operațiunea Cronos.
Banda a păstrat numele de marcă și și-a mutat site-ul de scurgere de date la o nouă adresă .onion care listează cinci victime cu contoare de numărătoare inversă pentru publicarea informațiilor furate.
Pe 19 februarie, autoritățile au închis infrastructura LockBit, care includea 34 de servere care găzduiau site-ul de scurgere de date și oglinzile sale, datele furate de la victime, adresele criptomonedei, cheile de decriptare și panoul afiliat.
Imediat după închidere, banda a confirmat breșa spunând că au pierdut doar serverele care rulează PHP și că sistemele de backup fără PHP nu au fost atinse.
Cinci zile mai târziu, LockBit revine și oferă detalii despre breșă și cum vor gestiona afacerea pentru a face infrastructura lor mai dificil de spart.
LockBit spune că autoritățile, la care se referă colectiv ca FBI, au spart două servere principale „pentru că după 5 ani de înotat în bani am devenit foarte leneș”.
„Datorită neglijenței și lipsurilor mele de responsabilitate m-am relaxat și nu am actualizat PHP la timp.” Actorul amenințător spune că serverul adminului și al panourilor de chat al victimelor și serverul blogului rulau PHP 8.1.2 și probabil au fost sparte folosind o vulnerabilitate critică urmărită ca CVE-2023-3824.
LockBit spune că au actualizat serverul PHP și au anunțat că vor recompensa pe oricine găsește o vulnerabilitate în versiunea cea mai recentă.
Speculând motivul pentru care „FBI” a spart infrastructura lor, cybercriminalul spune că a fost din cauza atacului de ransomware asupra comitatului Fulton în ianuarie, care a pus în pericol scurgerea informațiilor cu „multe lucruri interesante și cazurile lui Donald Trump care ar putea afecta viitoarele alegeri din SUA.”
Aceasta a determinat LockBit să creadă că prin atacarea „sectorului .gov mai des” vor forța „FBI” să arate dacă are capacitatea de a ataca banda.
Actorul amenințător spune că autoritățile „au obținut o bază de date, sursele panoului web, trofee de închidere care nu sunt sursă cum pretind și o mică parte din decriptoarele neprotejate.”
În timpul Operațiunii Cronos, autoritățile au colectat peste 1.000 de chei de decriptare. LockBit susține că poliția a obținut cheile din „decriptoarele neprotejate” și că pe server erau aproape 20.000 de decriptoare, cam jumătate din aproximativ 40.000 generate pe parcursul întregii vieți a operațiunii.
Actorul amenințător definește „decriptoarele neprotejate” ca fiind versiuni ale malware-ului de criptare a fișierelor care nu aveau caracteristica „protecție maximă de decriptare” activată, folosită în mod obișnuit de afiliații de nivel inferior care iau răscumpărări mai mici de doar 2.000 de dolari.
LockBit își propune să-și upgradeze securitatea pentru infrastructura sa și să treacă la lansarea manuală a decriptoarelor și decriptărilor de fișiere de încercare, precum și să găzduiască panoul afiliat pe mai multe servere și să ofere partenerilor acces la diferite copii în funcție de nivelul de încredere.
„Datorită separării panoului și a unei mai mari descentralizări, absenței decriptărilor de încercare în mod automat, protecției maxime a decriptoarelor pentru fiecare companie, șansele de spargere vor fi reduse semnificativ” – LockBit
Mesajul lung de la LockBit pare a fi controlul daunelor și o încercare de a-și restabili credibilitatea pentru o reputație șifonată.
Banda a primit o lovitură grea și chiar dacă a reușit să-și restaureze serverele, afiliații au toate motivele să fie neîncrezători.
Leave a Reply