Gangul de ransomware LockBit efectuează din nou atacuri, folosind encryptori actualizați cu note de răscumpărare care duc către noi servere după perturbarea din săptămâna trecută.
Săptămâna trecută, NCA, FBI și Europol au efectuat o perturbare coordonată numită ‘Operațiunea Cronos’ împotriva operațiunii de ransomware LockBit.
Ca parte a acestei operațiuni, forțele de ordine au confiscat infrastructura, au recuperat decryptorii și, într-un moment jenant pentru LockBit, au transformat site-ul de scurgere de date al gangului de ransomware într-un portal de presă al poliției.
Curând după aceea, LockBit a pus în funcțiune un nou site de scurgere de date și a lăsat o notă lungă adresată FBI, pretinzând că forțele de ordine au încălcat serverele lor folosind o eroare PHP.
Cu toate acestea, în loc să se rebranduiască, au promis să revină cu o infrastructură actualizată și mecanisme noi de securitate pentru a împiedica forțele de ordine să efectueze atacuri la scară largă și să obțină acces la decryptori.
Până ieri, LockBit pare să efectueze din nou atacuri, cu encryptori noi și infrastructură pregătită pentru site-urile de scurgere de date și de negociere.
Conform primelor informații raportate de Zscaler, gangul de ransomware a actualizat notele de răscumpărare ale encryptorilor cu URL-uri Tor pentru noua infrastructură a gangului. BleepingComputer a descoperit ulterior mostre ale encryptorilor încărcate pe VirusTotal ieri [Mostre] (partajate de MalwareHunterTeam) și astăzi [Mostre], conținând notele de răscumpărare actualizate.
BleepingComputer a confirmat, de asemenea, că serverele de negociere ale operației sunt din nou active, dar funcționează doar pentru victimele noilor atacuri.
La momentul eliminării LockBit, operațiunea de ransomware avea aproximativ 180 de parteneri care lucrau cu ei pentru a efectua atacuri.
Nu se știe câți dintre aceștia mai lucrează cu Ransomware-as-a-Service, deoarece unul s-a exprimat public împotriva operațiunii pe X.
Cu toate acestea, LockBit afirmă că acum recrutează activ pentesteri experimentați pentru a se alătura din nou operațiunii lor, lucru care va duce probabil la creșterea atacurilor în viitor.
Dacă acesta este un plan mare pentru LockBit de a dispărea încet și de a se rebrandui așa cum am văzut cu Conti rămâne de văzut. Până atunci, totuși, este mai sigur să presupunem că LockBit continuă să reprezinte o amenințare.
LockBit ransomware construiește în secret un encryptor de nouă generație înainte de a fi eliminat
Atacul asupra Capital Health revendicat de ransomware-ul LockBit, risc de scurgere de date
Săptămâna în Ransomware – 29 decembrie 2023 – LockBit vizează spitalele
LockBit ransomware revine, își reia serverele după perturbarea poliției
Gangul de ransomware LockBit deține peste 110 milioane de dolari în bitcoin necheltuiți
Leave a Reply