Les acteurs malveillants à l’origine de l’opération de ransomware LockBit ont refait surface sur le dark web en utilisant une nouvelle infrastructure, quelques jours après qu’un exercice international d’application de la loi ait pris le contrôle de ses serveurs.
À cette fin, le groupe notoire a déplacé son portail de fuite de données vers une nouvelle adresse .onion sur le réseau TOR, répertoriant 12 nouvelles victimes au moment de la rédaction.
L’administrateur derrière LockBit, dans un long message de suivia déclaré que certains de leurs sites Web avaient été confisqués en exploitant très probablement une faille PHP critique identifiée comme CVE-2023-3824, reconnaissant qu’ils n’avaient pas mis à jour PHP en raison de “négligence personnelle et irresponsabilité”.
“Je me rends compte qu’il ne s’agissait peut-être pas de ce CVE, mais de quelque chose d’autre comme 0-day pour PHP, mais je ne peux pas en être sûr à 100 %, car la version installée sur mes serveurs était déjà connue pour avoir une vulnérabilité connue, donc ceci C’est très probablement la manière dont les serveurs d’administration et de discussion des victimes ainsi que le serveur de blog ont été accédés”, ont-ils noté.
Ils ont également affirmé que le Federal Bureau of Investigation (FBI) des États-Unis avait « piraté » leur infrastructure en raison d’une attaque de ransomware contre le comté de Fulton en janvier et que les « documents volés contenaient beaucoup de choses intéressantes et des procès de Donald Trump qui pourraient affecter les prochaines élections américaines. “.
Ils ont également appelé à attaquer plus souvent le « secteur .gov », tout en précisant que le serveur à partir duquel les autorités ont obtenu plus de 1 000 clés de décryptage contenait près de 20 000 décrypteurs, dont la plupart étaient protégés et représentaient environ la moitié du nombre total de décrypteurs. décrypteurs générés depuis 2019.
Le groupe a ajouté que les surnoms des affiliés n’ont “rien à voir avec leurs vrais surnoms sur les forums et même avec leurs surnoms dans les messageries”.
Ce n’est pas tout. Le message tentait également de discréditer les forces de l’ordre, affirmant que le véritable « Bassterlord » n’avait pas été identifié et que les actions du FBI « visaient à détruire la réputation de mon programme d’affiliation ».
“Pourquoi a-t-il fallu 4 jours pour récupérer ? Parce que j’ai dû modifier le code source de la dernière version de PHP, car il y avait une incompatibilité”, ont-ils expliqué.
“Je vais arrêter d’être paresseux et faire en sorte qu’absolument tous les utilisateurs de build bénéficient d’une protection maximale. Désormais, il n’y aura plus de décryptage d’essai automatique, tous les décryptages d’essai et l’émission des décrypteurs se feront uniquement en mode manuel. Ainsi, dans le possible Lors de la prochaine attaque, le FBI ne pourra pas obtenir un seul décrypteur gratuitement.”
La Russie arrête trois membres de SugarLocker
Cette évolution intervient alors que les forces de l’ordre russes ont arrêté trois personnes, dont Aleksandr Nenadkevichite Ermakov (alias blade_runner, GustaveDore ou JimJones), en relation avec le groupe de ransomware SugarLocker.
“Les attaquants ont travaillé sous couvert d’une société informatique légitime Shtazi-IT, qui propose des services pour le développement de pages de destination, d’applications mobiles, de scripts, d’analyseurs et de boutiques en ligne”, a déclaré la société russe de cybersécurité FACCT. dit. “L’entreprise a ouvertement publié des annonces pour l’embauche de nouveaux employés.”
Les opérateurs ont également été accusés de développer des logiciels malveillants personnalisés, de créer des sites de phishing pour les boutiques en ligne et de diriger le trafic des utilisateurs vers des stratagèmes frauduleux populaires en Russie et dans les pays de la Communauté des États indépendants (CEI).
SucreLocker est apparu pour la première fois début 2021 et plus tard, ils ont commencé à être proposés selon le modèle ransomware-as-a-service (RaaS), il loue ses logiciels malveillants à d’autres partenaires dans le cadre d’un programme d’affiliation pour violer les cibles et déployer la charge utile du ransomware.
Près des trois quarts du produit de la rançon vont aux affiliés, un chiffre qui grimpe à 90 % si le paiement dépasse 5 millions de dollars. Les liens du gang de cybercriminalité avec Shtazi-IT avaient déjà été révélés par Intel 471 le mois dernier.
L’arrestation d’Ermakov est remarquable, car elle intervient après que l’Australie, le Royaume-Uni et les États-Unis ont imposé des sanctions financières à son encontre pour son rôle présumé dans l’attaque de ransomware de 2022 contre la compagnie d’assurance maladie Medibank.
L’attaque de ransomware, qui a eu lieu fin octobre 2022 et attribuée à l’équipe de ransomware REvil, aujourd’hui disparue, a conduit à l’accès non autorisé d’environ 9,7 millions de ses clients actuels et anciens.
Les informations volées comprenaient des noms, des dates de naissance, des numéros Medicare et des informations médicales sensibles, notamment des dossiers sur la santé mentale, la santé sexuelle et la consommation de drogues. Certains de ces enregistrements ont également trouvé leur chemin vers le dark web.
Il s’ensuit également un rapport de l’agence de presse TASS, qui a révélé qu’un ressortissant russe de 49 ans devait être jugé pour avoir mené une cyberattaque contre les systèmes de contrôle technologique qui a laissé 38 localités de Vologda sans électricité.