Η συμμορία ransomware LockBit διεξάγει και πάλι επιθέσεις, χρησιμοποιώντας ενημερωμένους κρυπτογραφητές με σημειώσεις λύτρων που συνδέονται με νέους διακομιστές μετά τη διακοπή της επιβολής του νόμου την περασμένη εβδομάδα.
Την περασμένη εβδομάδα, η NCA, το FBI και η Europol διεξήγαγαν μια συντονισμένη διακοπή με την ονομασία «Operation Cronos» κατά της επιχείρησης ransomware LockBit.
Ως μέρος αυτής της επιχείρησης, οι αρχές επιβολής του νόμου κατέσχεσαν υποδομές, ανέσυραν αποκρυπτογραφητές και, σε μια ντροπιαστική στιγμή για το LockBit, μετέτρεψαν τον ιστότοπο διαρροής δεδομένων της συμμορίας ransomware σε μια πύλη αστυνομικού τύπου.
Ο ιστότοπος διαρροής δεδομένων LockBit μετατράπηκε σε ιστότοπο τύπου
Πηγή: BleepingComputer
Αμέσως μετά, η LockBit δημιούργησε έναν νέο ιστότοπο διαρροής δεδομένων και άφησε ένα μεγάλο σημείωμα στο FBI, υποστηρίζοντας ότι οι αρχές επιβολής του νόμου παραβίασαν τους διακομιστές τους χρησιμοποιώντας ένα σφάλμα PHP.
Ωστόσο, αντί να αλλάξουν επωνυμία, υποσχέθηκαν να επιστρέψουν με ενημερωμένη υποδομή και νέους μηχανισμούς ασφαλείας για να αποτρέψουν την επιβολή του νόμου από την εκτέλεση επιθέσεων σε όλη τη λειτουργία και την πρόσβαση σε αποκρυπτογραφητές.
Ενημερωμένοι κρυπτογραφητές LockBit που χρησιμοποιούνται σε επιθέσεις
Από χθες, το LockBit φαίνεται να διεξάγει ξανά επιθέσεις, με νέους κρυπτογραφητές και ρύθμιση υποδομής για διαρροές δεδομένων και ιστοσελίδες διαπραγμάτευσης.
Όπως αναφέρθηκε αρχικά από
Zscaler
, η συμμορία ransomware ενημέρωσε τις σημειώσεις λύτρων του κρυπτογράφησης με διευθύνσεις URL Tor για τη νέα υποδομή της συμμορίας. Η BleepingComputer βρήκε αργότερα δείγματα των κρυπτογραφητών που ανέβηκαν στο VirusTotal χθες [
Sample
] (κοινόχρηστο από το MalwareHunterTeam) και σήμερα [
Sample
]που περιέχει τις ενημερωμένες σημειώσεις λύτρων.
Το BleepingComputer επιβεβαίωσε επίσης ότι οι διακομιστές διαπραγμάτευσης της επιχείρησης είναι ξανά ζωντανοί αλλά λειτουργούν μόνο για θύματα νέων επιθέσεων.
Νέοι ιστότοποι διαπραγμάτευσης LockBit
Πηγή: BleepingComputer
Τη στιγμή της κατάργησης του LockBit, η επιχείρηση ransomware είχε περίπου 180 συνεργάτες που συνεργάζονταν μαζί τους για τη διεξαγωγή επιθέσεων.
Δεν είναι γνωστό πόσοι εξακολουθούν να εργάζονται με το Ransomware-as-a-Service, όπως έχει κάνει κανείς δημόσια
επιτέθηκε στην επιχείρηση στο Χ
.
Ωστόσο, η LockBit δηλώνει ότι τώρα στρατολογεί ενεργά έμπειρους διεισδυτές για να συμμετάσχουν ξανά στη λειτουργία τους, κάτι που πιθανότατα θα οδηγήσει σε αυξημένες επιθέσεις στο μέλλον.
Το κατά πόσο αυτό είναι ένα μεγάλο σχέδιο για το LockBit να εξαφανιστεί σιγά σιγά και να αλλάξει την επωνυμία του όπως είδαμε με τον Conti, μένει να το δούμε. Προς το παρόν, ωστόσο, είναι ασφαλέστερο να υποθέσουμε ότι το LockBit συνεχίζει να αποτελεί απειλή.
VIA:
bleepingcomputer.com
