Os agentes de ameaças por trás da operação de ransomware LockBit ressurgiram na dark web usando uma novidade infraestrutura, dias depois de um manobra internacional de emprego da lei ter assumido o controle de seus servidores.
Para esse término, o notório grupo mudou seu portal de vazamento de dados para um novo endereço .onion na rede TOR, listando 12 novas vítimas até o momento.
O gestor por trás do LockBit, em um longa mensagem de séquitodisse que alguns de seus sites foram confiscados provavelmente explorando uma lacuna sátira do PHP rastreada porquê CVE-2023-3824, reconhecendo que não atualizaram o PHP devido a “negligência pessoal e irresponsabilidade”.
“Percebo que pode não ter sido esse CVE, mas sim um pouco porquê 0-day para PHP, mas não posso ter 100% de certeza, pois a versão instalada em meus servidores já era conhecida por ter uma vulnerabilidade conhecida, portanto isso é provavelmente a forma porquê os servidores do pintura de gestão e de bate-papo das vítimas e o servidor do blog foram acessados”, observaram.
Eles também alegaram que o Federalista Bureau of Investigation (FBI) dos EUA “hackeou” sua infraestrutura por razão de um ataque de ransomware no condado de Fulton em janeiro e que os “documentos roubados contêm muitas coisas interessantes e os processos judiciais de Donald Trump que podem afetar as próximas eleições nos EUA”. .”
Eles também pediram ataques mais frequentes ao “setor .gov”, ao mesmo tempo que afirmaram que o servidor do qual as autoridades obtiveram mais de 1.000 chaves de descriptografia continha quase 20.000 descriptografadores, a maioria dos quais estavam protegidos e representavam muro de metade do número totalidade de decodificadores gerados desde 2019.
O grupo acrescentou ainda que os apelidos dos afiliados “não têm zero a ver com seus apelidos reais em fóruns e até mesmo apelidos em mensageiros”.
Isso não é tudo. A postagem também tentou desacreditar as agências de emprego da lei, alegando que o verdadeiro “Bassterlord” não foi identificado e que as ações do FBI “visam destruir a reputação do meu programa de afiliados”.
“Por que demorou 4 dias para restabelecer? Porque tive que editar o código-fonte da versão mais recente do PHP, pois havia incompatibilidade”, disseram.
“Vou deixar de ser preguiçoso e fazer com que absolutamente todos os build lokers estejam com proteção máxima, agora não haverá descriptografia de teste automática, todas as descriptografias de teste e a emissão de descriptografadores serão feitas somente em modo manual. próximo ataque, o FBI não conseguirá obter um único descriptografador gratuitamente.”
Rússia prende três membros do SugarLocker
O desenvolvimento ocorre no momento em que as autoridades russas prendem três indivíduos, incluindo Aleksandr Nenadkevichite Ermakov (também divulgado porquê blade_runner, GustaveDore ou JimJones), em conexão com o grupo de ransomware SugarLocker.
“Os invasores trabalharam sob o máscara de uma empresa de TI legítima, Shtazi-IT, que oferece serviços para o desenvolvimento de landing pages, aplicativos móveis, scripts, analisadores e lojas online”, disse a empresa russa de segurança cibernética FACCT. “A empresa postou francamente anúncios para contratação de novos funcionários.”
As operadoras também foram acusadas de desenvolver malware personalizado, gerar sites de phishing para lojas online e direcionar o tráfico de usuários para esquemas fraudulentos populares na Rússia e nos países da Comunidade de Estados Independentes (CEI).
O SugarLocker apareceu pela primeira vez no início de 2021 e mais tarde começou a ser oferecido no protótipo ransomware porquê serviço (RaaS), alugando seu malware a outros parceiros em um programa de afiliados para violar alvos e implantar a trouxa útil do ransomware.
Quase três quartos dos rendimentos do resgate vão para os afiliados, um número que salta para 90% se o pagamento ultrapassar US$ 5 milhões. As ligações da gangue do violação cibernético com a Shtazi-IT foram divulgadas anteriormente pela Intel 471 no mês pretérito.
A prisão de Ermakov é notável, pois ocorre na sequência da Austrália, do Reino Uno e dos EUA imporem sanções financeiras contra ele pelo seu alegado papel no ataque de ransomware de 2022 contra o fornecedor de seguros de saúde Medibank.
O ataque de ransomware, que ocorreu no final de outubro de 2022 e atribuído à extinta equipe de ransomware REvil, levou ao entrada não autorizado de aproximadamente 9,7 milhões de seus clientes atuais e antigos.
As informações roubadas incluíam nomes, datas de promanação, números do Medicare e informações médicas confidenciais, incluindo registros sobre saúde mental, saúde sexual e uso de drogas. Alguns desses registros também chegaram à dark web.
Segue-se também um relatório da escritório de notícias TASS, que revelou que um cidadão russo de 49 anos será julgado sob a arguição de realizar um ataque cibernético a sistemas de controlo tecnológico que deixou 38 povoações de Vologda sem força.
