Los actores de amenazas detr\u00e1s de la operaci\u00f3n de ransomware LockBit han resurgido en la web oscura utilizando una nueva infraestructura, d\u00edas despu\u00e9s de que un ejercicio internacional de aplicaci\u00f3n de la ley tomara el control de sus servidores.<\/p>\n
Con ese fin, el notorio grupo ha trasladado su portal de filtraci\u00f3n de datos a una nueva direcci\u00f3n .onion en la red TOR, enumerando 12 nuevas v\u00edctimas al momento de escribir este art\u00edculo.<\/p>\n
El administrador detr\u00e1s de LockBit, en un mensaje de seguimiento largo<\/a>dijo que algunos de sus sitios web fueron confiscados probablemente explotando una falla cr\u00edtica de PHP rastreada como CVE-2023-3824, reconociendo que no actualizaron PHP debido a “negligencia personal e irresponsabilidad”.<\/p>\n “Me doy cuenta de que puede que no haya sido este CVE, sino algo m\u00e1s como 0-day para PHP, pero no puedo estar 100% seguro, porque ya se sab\u00eda que la versi\u00f3n instalada en mis servidores ten\u00eda una vulnerabilidad conocida, as\u00ed que esto “Lo m\u00e1s probable es c\u00f3mo se accedi\u00f3 a los servidores del panel de chat y administraci\u00f3n de las v\u00edctimas y al servidor del blog”, se\u00f1alaron.<\/p>\n Tambi\u00e9n afirmaron que la Oficina Federal de Investigaciones (FBI) de EE. UU. “pirate\u00f3” su infraestructura debido a un ataque de ransomware en el condado de Fulton en enero y que los “documentos robados contienen muchas cosas interesantes y casos judiciales de Donald Trump que podr\u00edan afectar las pr\u00f3ximas elecciones estadounidenses”. “.<\/p>\n Tambi\u00e9n pidieron atacar m\u00e1s a menudo el “sector .gov”, al tiempo que afirmaron que el servidor del que las autoridades obtuvieron m\u00e1s de 1.000 claves de descifrado conten\u00eda casi 20.000 descifradores, la mayor\u00eda de los cuales estaban protegidos y representaban aproximadamente la mitad del n\u00famero total de descifradores generados desde 2019.<\/p>\n El grupo a\u00f1adi\u00f3 adem\u00e1s que los apodos de los afiliados “no tienen nada que ver con sus apodos reales en los foros e incluso con los apodos en los mensajeros”.<\/p>\n Eso no es todo. La publicaci\u00f3n tambi\u00e9n intent\u00f3 desacreditar a las agencias encargadas de hacer cumplir la ley, afirmando que el verdadero “Bassterlord” no ha sido identificado y que las acciones del FBI est\u00e1n “dirigidas a destruir la reputaci\u00f3n de mi programa de afiliados”.<\/p>\n “\u00bfPor qu\u00e9 tard\u00f3 4 d\u00edas en recuperarse? Porque tuve que editar el c\u00f3digo fuente para la \u00faltima versi\u00f3n de PHP, ya que hab\u00eda incompatibilidad”, dijeron.<\/p>\n “Dejar\u00e9 de ser perezoso y har\u00e9 que absolutamente todos los build loker tengan la m\u00e1xima protecci\u00f3n, ahora no habr\u00e1 descifrado de prueba autom\u00e1tico, todos los descifrados de prueba y la emisi\u00f3n de descifradores se realizar\u00e1n \u00fanicamente en modo manual. Por lo tanto, en lo posible En el pr\u00f3ximo ataque, el FBI no podr\u00e1 conseguir ni un solo descifrador gratis”.<\/p>\n El desarrollo se produce cuando los funcionarios encargados de hacer cumplir la ley rusos arrestaron a tres personas, incluido Aleksandr Nenadkevichite Ermakov (tambi\u00e9n conocido como blade_runner, GustaveDore o JimJones), en relaci\u00f3n con el grupo de ransomware SugarLocker.<\/p>\n “Los atacantes actuaron bajo la apariencia de una empresa inform\u00e1tica leg\u00edtima, Shtazi-IT, que ofrece servicios para el desarrollo de p\u00e1ginas de destino, aplicaciones m\u00f3viles, scripts, analizadores y tiendas en l\u00ednea”, afirm\u00f3 la empresa rusa de ciberseguridad FACCT. dicho<\/a>. “La empresa public\u00f3 abiertamente anuncios para contratar nuevos empleados”.<\/p>\n Los operadores tambi\u00e9n han sido acusados \u200b\u200bde desarrollar malware personalizado, crear sitios de phishing para tiendas en l\u00ednea y dirigir el tr\u00e1fico de usuarios hacia esquemas fraudulentos populares en Rusia y las naciones de la Comunidad de Estados Independientes (CEI).<\/p>\n casillero de az\u00facar<\/a> apareci\u00f3 por primera vez a principios de 2021 y Posteriormente se empez\u00f3 a ofrecer<\/a> bajo el modelo de ransomware como servicio (RaaS), alquilando su malware a otros socios bajo un programa de afiliados para violar objetivos e implementar la carga \u00fatil del ransomware.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/LockBit-Ransomware-Group-resurge-despues-del-derribo-de-las-fuerzas.jpg\")
<\/a><\/center><\/div>\nRusia arresta a tres miembros de SugarLocker<\/h3>\n