Os responsáveis pela operação de ransomware LockBit ressurgiram na dark web com uma nova infraestrutura, apenas alguns dias após uma operação policial internacional ter confiscado os recursos do grupo.
Eles mudaram o local do seu portal de vazamento de dados para um novo endereço ".onion" na rede TOR e já listaram 12 novas vítimas.
Em uma mensagem, o líder por trás do LockBit admitiu que alguns de seus sites foram apreendidos devido a uma falha crítica no PHP conhecida como CVE-2023-3824, reconhecendo a negligência na atualização do PHP.
"Embora não possa confirmar se foi exatamente essa CVE, é possível que tenha sido um zero-day para o PHP. As versões instaladas nos meus servidores já eram conhecidas por terem vulnerabilidades. Portanto, é provável que os servidores tenham sido comprometidos", afirmou o líder do grupo.
Eles também alegaram que o FBI "hackeou" sua infraestrutura após um ataque de ransomware no Condado de Fulton em janeiro, destacando que os documentos roubados contêm informações sensíveis, incluindo casos judiciais de Donald Trump que poderiam influenciar as eleições dos EUA.
Além de incentivar ataques mais frequentes ao setor ".gov", eles revelaram que o servidor onde as autoridades obtiveram mais de 1.000 chaves de descriptografia continha quase 20.000 descriptografadores, a maioria protegida.
O grupo também afirmou que os nomes dos 194 afiliados não correspondem aos seus verdadeiros apelidos em fóruns ou mensageiros.
A postagem tentou desacreditar as agências de segurança, sugerindo que o verdadeiro "Bassterlord" não foi identificado e que as ações do FBI visam prejudicar o programa de afiliados.
Eles explicaram o atraso na recuperação de quatro dias devido à necessidade de atualizar o código-fonte para a versão mais recente do PHP, garantindo compatibilidade.
Para evitar futuros ataques, prometeram implementar medidas de segurança mais rígidas em todas as versões do Loker, como descriptografia manual e sem descriptografias de teste automáticas.
Esses eventos ocorrem enquanto as autoridades russas prendem três indivíduos, incluindo Aleksandr Nenadkevichite Ermakov, com conexões com o grupo de ransomware SugarLocker. Os hackers operavam sob o disfarce de uma empresa de TI legítima, oferecendo serviços de desenvolvimento e criando malware personalizado.
O SugarLocker, que apareceu pela primeira vez em 2021, agora é oferecido como serviço de ransomware, com a maioria dos lucros indo para afiliados. A prisão de Ermakov segue sanções impostas pela Austrália, Reino Unido e Estados Unidos por seu suposto envolvimento no ataque de ransomware contra a Medibank em 2022.
Em outubro de 2022, um ataque atribuído ao grupo REvil expôs os dados de milhões de clientes da Medibank. Além disso, um cidadão russo será julgado por um ataque cibernético que deixou 38 localidades sem energia na região de Vologda.
Via - THN
Comments