Η συμμορία LockBit επανεκκινεί τη λειτουργία της ransomware σε μια νέα υποδομή λιγότερο από μία εβδομάδα αφότου οι αρχές επιβολής του νόμου χάκαραν τους διακομιστές τους και απειλεί να επικεντρώσει περισσότερες επιθέσεις στον κυβερνητικό τομέα.
Σε ένα μήνυμα κάτω από μια μακέτα διαρροή του FBI – ειδικά για να επιστήσει την προσοχή, η συμμορία δημοσίευσε ένα μακροσκελές μήνυμα σχετικά με την αμέλειά της που επέτρεψε την παραβίαση και τα σχέδια για τη μελλοντική επιχείρηση.
Το LockBit ransomware συνεχίζει τις επιθέσεις
Το Σάββατο, η LockBit ανακοίνωσε ότι ξαναρχίζει την επιχείρηση ransomware και κυκλοφόρησε επικοινωνία ελέγχου ζημιών, λέγοντας ότι παραδέχεται ότι «προσωπική αμέλεια και ανευθυνότητα» οδήγησε την επιβολή του νόμου να διακόψει τη δραστηριότητά της στην Επιχείρηση Cronos.
Η συμμορία κράτησε την επωνυμία και μετέφερε τον ιστότοπο διαρροής δεδομένων της σε μια νέα διεύθυνση .onion που απαριθμεί πέντε θύματα με χρονόμετρα αντίστροφης μέτρησης για δημοσίευση κλεμμένων πληροφοριών.
Ο ιστότοπος διαρροής δεδομένων LockBit που ξεκίνησε ξανά δείχνει πέντε θύματα
πηγή: BleepingComputer
Στις 19 Φεβρουαρίου, οι αρχές κατέστρεψαν την υποδομή του LockBit, η οποία περιελάμβανε 34 διακομιστές που φιλοξενούσαν τον ιστότοπο διαρροής δεδομένων και τους καθρέφτες του, δεδομένα που είχαν κλαπεί από τα θύματα, διευθύνσεις κρυπτονομισμάτων, κλειδιά αποκρυπτογράφησης και τον πίνακα συνεργατών.
Αμέσως μετά την κατάργηση, η συμμορία επιβεβαίωσε την παραβίαση λέγοντας ότι έχασαν μόνο τους διακομιστές που εκτελούσαν PHP και ότι τα συστήματα δημιουργίας αντιγράφων ασφαλείας χωρίς PHP ήταν ανέγγιχτα.
Πέντε ημέρες αργότερα, το LockBit επιστρέφει και παρέχει λεπτομέρειες σχετικά με την παραβίαση και τον τρόπο με τον οποίο πρόκειται να διευθύνουν την επιχείρηση για να κάνουν την υποδομή τους πιο δύσκολη για το χακάρισμα.
Ξεπερασμένος διακομιστής PHP
Η LockBit λέει ότι οι αρχές επιβολής του νόμου, στις οποίες αναφέρονται συλλογικά ως FBI, παραβίασαν δύο βασικούς διακομιστές «γιατί για 5 χρόνια κολύμβησης σε χρήματα έγινα πολύ τεμπέλης».
«Λόγω της προσωπικής μου αμέλειας και ανευθυνότητας χαλάρωσα και δεν ενημέρωσα έγκαιρα την PHP». Ο ηθοποιός της απειλής λέει ότι ο διαχειριστής του θύματος και ο διακομιστής των πάνελ συνομιλίας και ο διακομιστής ιστολογίου εκτελούσαν PHP 8.1.2 και πιθανότατα παραβιάστηκαν χρησιμοποιώντας μια κρίσιμη ευπάθεια που παρακολουθείται ως
CVE-2023-3824
.
Η LockBit λέει ότι ενημέρωσε τον διακομιστή PHP και ανακοίνωσε ότι θα ανταμείψει όποιον βρει ευπάθεια στην πιο πρόσφατη έκδοση.
Εικασίες για τον λόγο που «το FBI» χακάρισε την υποδομή τους, ο κυβερνοεγκληματίας λέει ότι ήταν λόγω της επίθεσης με ransomware στην κομητεία Fulton τον Ιανουάριο, η οποία έθετε τον κίνδυνο διαρροής πληροφοριών με «πολλά ενδιαφέροντα πράγματα και τις δικαστικές υποθέσεις του Ντόναλντ Τραμπ που θα μπορούσαν επηρεάσει τις επερχόμενες εκλογές στις ΗΠΑ».
Αυτό οδήγησε τον LockBit να πιστέψει ότι επιτιθέμενοι στον «τομέα .gov πιο συχνά» θα αναγκάσουν «το FBI» να δείξει αν έχει τη δυνατότητα να επιτεθεί στη συμμορία.
Ο ηθοποιός των απειλών λέει ότι οι αρχές επιβολής του νόμου «απέκτησαν μια βάση δεδομένων, πηγές web panel, στελέχη ντουλαπιών που δεν είναι πηγή όπως ισχυρίζονται και ένα μικρό μέρος απροστάτευτων αποκρυπτογραφητών».
Αποκεντρωμένα πάνελ συνεργατών
Κατά τη διάρκεια της Επιχείρησης Cronos, οι αρχές συνέλεξαν περισσότερα από 1.000 κλειδιά αποκρυπτογράφησης. Η LockBit ισχυρίζεται ότι η αστυνομία έλαβε τα κλειδιά από «μη προστατευμένους αποκρυπτογραφητές» και ότι στον διακομιστή υπήρχαν σχεδόν 20.000 αποκρυπτογραφητές, περίπου οι μισοί από τους περίπου 40.000 που δημιουργήθηκαν σε όλη τη διάρκεια της επιχείρησης.
Ο παράγοντας απειλών ορίζει τους “μη προστατευμένους αποκρυπτογραφητές” ως εκδόσεις του κακόβουλου λογισμικού κρυπτογράφησης αρχείων που δεν είχαν ενεργοποιημένη τη δυνατότητα “μέγιστης προστασίας αποκρυπτογράφησης”, που συνήθως χρησιμοποιείται από θυγατρικές χαμηλού επιπέδου που λαμβάνουν μικρότερα λύτρα μόλις 2.000 $.
Η LockBit σχεδιάζει να αναβαθμίσει την ασφάλεια για την υποδομή της και να μεταβεί σε μη αυτόματη απελευθέρωση αποκρυπτογραφήσεων και δοκιμαστικές αποκρυπτογραφήσεις αρχείων, καθώς και να φιλοξενήσει τον πίνακα συνεργατών σε πολλούς διακομιστές και να παρέχει στους συνεργάτες του πρόσβαση σε διαφορετικά αντίγραφα με βάση το επίπεδο εμπιστοσύνης.
«Λόγω του διαχωρισμού του πίνακα και της μεγαλύτερης αποκέντρωσης, της απουσίας δοκιμαστικών αποκρυπτογραφήσεων σε αυτόματη λειτουργία, της μέγιστης προστασίας των αποκρυπτογραφήσεων για κάθε εταιρεία, η πιθανότητα πειρατείας θα μειωθεί σημαντικά» –
LockBit
Το μακροσκελές μήνυμα από το LockBit μοιάζει με έλεγχο ζημιών και μια προσπάθεια αποκατάστασης της αξιοπιστίας για μια σπασμένη φήμη.
Η συμμορία δέχτηκε ένα βαρύ πλήγμα και, ακόμη κι αν κατάφερε να επαναφέρει τους διακομιστές, οι θυγατρικές έχουν έναν καλό λόγο να είναι δύσπιστοι.
VIA:
bleepingcomputer.com
