Les acteurs malveillants \u00e0 l’origine de l’op\u00e9ration de ransomware LockBit ont refait surface sur le dark web en utilisant une nouvelle infrastructure, quelques jours apr\u00e8s qu’un exercice international d’application de la loi ait pris le contr\u00f4le de ses serveurs.<\/p>\n
\u00c0 cette fin, le groupe notoire a d\u00e9plac\u00e9 son portail de fuite de donn\u00e9es vers une nouvelle adresse .onion sur le r\u00e9seau TOR, r\u00e9pertoriant 12 nouvelles victimes au moment de la r\u00e9daction.<\/p>\n
L’administrateur derri\u00e8re LockBit, dans un long message de suivi<\/a>a d\u00e9clar\u00e9 que certains de leurs sites Web avaient \u00e9t\u00e9 confisqu\u00e9s en exploitant tr\u00e8s probablement une faille PHP critique identifi\u00e9e comme CVE-2023-3824, reconnaissant qu’ils n’avaient pas mis \u00e0 jour PHP en raison de “n\u00e9gligence personnelle et irresponsabilit\u00e9”.<\/p>\n “Je me rends compte qu’il ne s’agissait peut-\u00eatre pas de ce CVE, mais de quelque chose d’autre comme 0-day pour PHP, mais je ne peux pas en \u00eatre s\u00fbr \u00e0 100 %, car la version install\u00e9e sur mes serveurs \u00e9tait d\u00e9j\u00e0 connue pour avoir une vuln\u00e9rabilit\u00e9 connue, donc ceci C’est tr\u00e8s probablement la mani\u00e8re dont les serveurs d’administration et de discussion des victimes ainsi que le serveur de blog ont \u00e9t\u00e9 acc\u00e9d\u00e9s”, ont-ils not\u00e9.<\/p>\n Ils ont \u00e9galement affirm\u00e9 que le Federal Bureau of Investigation (FBI) des \u00c9tats-Unis avait \u00ab pirat\u00e9 \u00bb leur infrastructure en raison d’une attaque de ransomware contre le comt\u00e9 de Fulton en janvier et que les \u00ab documents vol\u00e9s contenaient beaucoup de choses int\u00e9ressantes et des proc\u00e8s de Donald Trump qui pourraient affecter les prochaines \u00e9lections am\u00e9ricaines. “.<\/p>\n Ils ont \u00e9galement appel\u00e9 \u00e0 attaquer plus souvent le \u00ab secteur .gov \u00bb, tout en pr\u00e9cisant que le serveur \u00e0 partir duquel les autorit\u00e9s ont obtenu plus de 1 000 cl\u00e9s de d\u00e9cryptage contenait pr\u00e8s de 20 000 d\u00e9crypteurs, dont la plupart \u00e9taient prot\u00e9g\u00e9s et repr\u00e9sentaient environ la moiti\u00e9 du nombre total de d\u00e9crypteurs. d\u00e9crypteurs g\u00e9n\u00e9r\u00e9s depuis 2019.<\/p>\n Le groupe a ajout\u00e9 que les surnoms des affili\u00e9s n’ont “rien \u00e0 voir avec leurs vrais surnoms sur les forums et m\u00eame avec leurs surnoms dans les messageries”.<\/p>\n Ce n’est pas tout. Le message tentait \u00e9galement de discr\u00e9diter les forces de l’ordre, affirmant que le v\u00e9ritable \u00ab Bassterlord \u00bb n’avait pas \u00e9t\u00e9 identifi\u00e9 et que les actions du FBI \u00ab visaient \u00e0 d\u00e9truire la r\u00e9putation de mon programme d’affiliation \u00bb.<\/p>\n “Pourquoi a-t-il fallu 4 jours pour r\u00e9cup\u00e9rer ? Parce que j’ai d\u00fb modifier le code source de la derni\u00e8re version de PHP, car il y avait une incompatibilit\u00e9”, ont-ils expliqu\u00e9.<\/p>\n “Je vais arr\u00eater d’\u00eatre paresseux et faire en sorte qu’absolument tous les utilisateurs de build b\u00e9n\u00e9ficient d’une protection maximale. D\u00e9sormais, il n’y aura plus de d\u00e9cryptage d’essai automatique, tous les d\u00e9cryptages d’essai et l’\u00e9mission des d\u00e9crypteurs se feront uniquement en mode manuel. Ainsi, dans le possible Lors de la prochaine attaque, le FBI ne pourra pas obtenir un seul d\u00e9crypteur gratuitement.”<\/p>\n Cette \u00e9volution intervient alors que les forces de l’ordre russes ont arr\u00eat\u00e9 trois personnes, dont Aleksandr Nenadkevichite Ermakov (alias blade_runner, GustaveDore ou JimJones), en relation avec le groupe de ransomware SugarLocker.<\/p>\n “Les attaquants ont travaill\u00e9 sous couvert d’une soci\u00e9t\u00e9 informatique l\u00e9gitime Shtazi-IT, qui propose des services pour le d\u00e9veloppement de pages de destination, d’applications mobiles, de scripts, d’analyseurs et de boutiques en ligne”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 FACCT. dit<\/a>. “L’entreprise a ouvertement publi\u00e9 des annonces pour l’embauche de nouveaux employ\u00e9s.”<\/p>\n Les op\u00e9rateurs ont \u00e9galement \u00e9t\u00e9 accus\u00e9s de d\u00e9velopper des logiciels malveillants personnalis\u00e9s, de cr\u00e9er des sites de phishing pour les boutiques en ligne et de diriger le trafic des utilisateurs vers des stratag\u00e8mes frauduleux populaires en Russie et dans les pays de la Communaut\u00e9 des \u00c9tats ind\u00e9pendants (CEI).<\/p>\n SucreLocker<\/a> est apparu pour la premi\u00e8re fois d\u00e9but 2021 et plus tard, ils ont commenc\u00e9 \u00e0 \u00eatre propos\u00e9s<\/a> selon le mod\u00e8le ransomware-as-a-service (RaaS), il loue ses logiciels malveillants \u00e0 d’autres partenaires dans le cadre d’un programme d’affiliation pour violer les cibles et d\u00e9ployer la charge utile du ransomware.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-groupe-LockBit-Ransomware-refait-surface-apres-le-retrait-des.jpg\")
<\/a><\/center><\/div>\nLa Russie arr\u00eate trois membres de SugarLocker<\/h3>\n