Търсене
Close this search box.

LockBit се завърна

По-малко от седмица след като правоохранителните органи хакнаха сървърите ѝ, бандата LockBit подновява операцията си с рансъмуер в нова инфраструктура и заплашва да съсредоточи повече атаки върху правителствения сектор.

В съобщение под макет на ФБР за изтичане на информация – специално за привличане на вниманието, бандата публикува дълго съобщение за своята небрежност, позволяваща пробива, и плановете за операцията занапред.

LockBit ransomware продължава атаките

В събота LockBit обяви, че възобновява дейността си с рансъмуер, и публикува съобщение за контрол на щетите, в което признава, че „личната небрежност и безотговорност“ са довели до прекъсване на дейността заради  операция „Кронос“ на правоприлагащите органи .

Бандата запази името на марката и премести сайта си за изтичане на данни на нов адрес .onion, в който са изброени пет жертви с таймери за обратно броене за публикуване на откраднатата информация.
На 19 февруари властите свалиха инфраструктурата на LockBit, която включваше 34 сървъра, на които се намираха уебсайтът за изтичане на данни и неговите миръри, данни, откраднати от жертвите, адреси на криптовалути, ключове за декриптиране и партньорски панел.

Веднага след свалянето бандата потвърди пробива, като заяви, че е загубила само сървърите, работещи с PHP, и че резервните системи без PHP са останали незасегнати.

Пет дни по-късно LockBit се завръща и предоставя подробности за пробива и как ще управлява бизнеса, за да направи инфраструктурата си по-трудна за хакване.

Остарял PHP сървър

От LockBit казват, че правоохранителните органи, които те наричат колективно ФБР, са нарушили двата основни сървъра, „защото за 5 години плуване в пари станахме много мързеливи“.

„Поради личната ни небрежност и безотговорност се отпуснахме и не актуализирахме PHP навреме“. Главатарят на бандата  казва, че сървърът на администратора и чат панелите на жертвата и сървърът на блога са работили с PHP 8.1.2 и вероятно са били хакнати чрез използване на критична уязвимост, проследена като CVE-2023-3824.

От LockBit казват, че са актуализирали PHP сървъра и са обявили, че ще възнаградят всеки, който открие уязвимост в последната версия.

Спекулирайки за причината, поради която „ФБР“ е хакнало инфраструктурата им, киберпрестъпникът казва, че това е станало заради атаката с рансъмуер срещу окръг Фултън през януари, която е създала риск от изтичане на информация с „много интересни неща и съдебни дела на Доналд Тръмп, които могат да повлияят на предстоящите избори в САЩ“.

Това е накарало LockBit да смята, че като атакува по-често „сектора .gov“, ще принуди „ФБР“ да покаже дали има възможност да атакува бандата.

Извършителят на заплахата казва, че правоприлагащите органи „са получили база данни, източници на уеб панел, които не са източник на нищо, както те твърдят, и малка част от незащитени декриптори“.

Децентрализирани партньорски панели

По време на операция „Кронос“ властите са събрали повече от 1000 декриптиращи ключа. LockBit твърди, че полицията е получила ключовете от „незащитени декриптори“ и че на сървъра е имало почти 20 000 декриптора, около половината от приблизително 40 000, генерирани през целия период на съществуване на операцията.

Субектът на заплахата определя „незащитените декриптори“ като компилации на зловредния софтуер за криптиране на файлове, които не са имали активирана функцията „максимална защита от декриптиране“, обикновено използвани от филиали на ниско ниво, които вземат по-малки откупи от едва 2000 долара.

LockBit планира да подобри сигурността на инфраструктурата си и да премине към ръчно пускане на декриптори и пробни декриптирания на файлове, както и да хоства панела на афилиатите на няколко сървъра и да предоставя на партньорите си достъп до различни копия в зависимост от нивото на доверие.

„Благодарение на разделянето на панела и по-голямата децентрализация, липсата на пробни декриптирания в автоматичен режим, максималната защита на декрипторите за всяка компания, шансът за хакерски атаки ще бъде значително намален“ – написаха от LockBit.

Дългото съобщение от LockBit изглежда като контрол на щетите и опит за възстановяване на доверието към опетнената репутация.

Бандата понесе тежък удар и дори да успее да възстанови сървърите, партньорите имат основателна причина да бъдат недоверчиви.

 

Източник: e-security.bg

Подобни публикации

15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
Бъдете социални
Още по темата
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
Последно добавени
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!