Los actores de amenazas detrás de la operación de ransomware LockBit han resurgido en la web oscura utilizando una nueva infraestructura, días después de que un ejercicio internacional de aplicación de la ley tomara el control de sus servidores.
Con ese fin, el notorio grupo ha trasladado su portal de filtración de datos a una nueva dirección .onion en la red TOR, enumerando 12 nuevas víctimas al momento de escribir este artículo.
El administrador detrás de LockBit, en un mensaje de seguimiento largodijo que algunos de sus sitios web fueron confiscados probablemente explotando una falla crítica de PHP rastreada como CVE-2023-3824, reconociendo que no actualizaron PHP debido a «negligencia personal e irresponsabilidad».
«Me doy cuenta de que puede que no haya sido este CVE, sino algo más como 0-day para PHP, pero no puedo estar 100% seguro, porque ya se sabía que la versión instalada en mis servidores tenía una vulnerabilidad conocida, así que esto «Lo más probable es cómo se accedió a los servidores del panel de chat y administración de las víctimas y al servidor del blog», señalaron.
También afirmaron que la Oficina Federal de Investigaciones (FBI) de EE. UU. «pirateó» su infraestructura debido a un ataque de ransomware en el condado de Fulton en enero y que los «documentos robados contienen muchas cosas interesantes y casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses». «.
También pidieron atacar más a menudo el «sector .gov», al tiempo que afirmaron que el servidor del que las autoridades obtuvieron más de 1.000 claves de descifrado contenía casi 20.000 descifradores, la mayoría de los cuales estaban protegidos y representaban aproximadamente la mitad del número total de descifradores generados desde 2019.
El grupo añadió además que los apodos de los afiliados «no tienen nada que ver con sus apodos reales en los foros e incluso con los apodos en los mensajeros».
Eso no es todo. La publicación también intentó desacreditar a las agencias encargadas de hacer cumplir la ley, afirmando que el verdadero «Bassterlord» no ha sido identificado y que las acciones del FBI están «dirigidas a destruir la reputación de mi programa de afiliados».
«¿Por qué tardó 4 días en recuperarse? Porque tuve que editar el código fuente para la última versión de PHP, ya que había incompatibilidad», dijeron.
«Dejaré de ser perezoso y haré que absolutamente todos los build loker tengan la máxima protección, ahora no habrá descifrado de prueba automático, todos los descifrados de prueba y la emisión de descifradores se realizarán únicamente en modo manual. Por lo tanto, en lo posible En el próximo ataque, el FBI no podrá conseguir ni un solo descifrador gratis».
Rusia arresta a tres miembros de SugarLocker
El desarrollo se produce cuando los funcionarios encargados de hacer cumplir la ley rusos arrestaron a tres personas, incluido Aleksandr Nenadkevichite Ermakov (también conocido como blade_runner, GustaveDore o JimJones), en relación con el grupo de ransomware SugarLocker.
«Los atacantes actuaron bajo la apariencia de una empresa informática legítima, Shtazi-IT, que ofrece servicios para el desarrollo de páginas de destino, aplicaciones móviles, scripts, analizadores y tiendas en línea», afirmó la empresa rusa de ciberseguridad FACCT. dicho. «La empresa publicó abiertamente anuncios para contratar nuevos empleados».
Los operadores también han sido acusados de desarrollar malware personalizado, crear sitios de phishing para tiendas en línea y dirigir el tráfico de usuarios hacia esquemas fraudulentos populares en Rusia y las naciones de la Comunidad de Estados Independientes (CEI).
casillero de azúcar apareció por primera vez a principios de 2021 y Posteriormente se empezó a ofrecer bajo el modelo de ransomware como servicio (RaaS), alquilando su malware a otros socios bajo un programa de afiliados para violar objetivos e implementar la carga útil del ransomware.
Casi tres cuartas partes de los ingresos del rescate van a los afiliados, una cifra que salta al 90% si el pago supera los 5 millones de dólares. Los vínculos de la banda de ciberdelincuentes con Shtazi-IT fueron revelados previamente por Intel 471 el mes pasado.
El arresto de Ermakov es notable, ya que se produce después de que Australia, el Reino Unido y Estados Unidos le impusieran sanciones financieras por su presunto papel en el ataque de ransomware de 2022 contra el proveedor de seguros médicos Medibank.
El ataque de ransomware, que tuvo lugar a finales de octubre de 2022 y se atribuyó al ahora desaparecido equipo de ransomware REvil, provocó el acceso no autorizado de aproximadamente 9,7 millones de sus clientes actuales y anteriores.
La información robada incluía nombres, fechas de nacimiento, números de Medicare e información médica confidencial, incluidos registros sobre salud mental, salud sexual y uso de drogas. Algunos de estos registros también llegaron a la web oscura.
También sigue un informe de la agencia de noticias TASS, que reveló que un ciudadano ruso de 49 años será juzgado acusado de llevar a cabo un ciberataque a los sistemas de control tecnológico que dejó sin electricidad a 38 asentamientos de Vologda.