Участники угрозы, стоящие за операцией программы-вымогателя LockBit, вновь появились в темной Сети, используя новую инфраструктуру, через несколько дней после того, как международные правоохранительные органы захватили контроль над ее серверами.
С этой целью печально известная группа переместила свой портал утечки данных на новый адрес .onion в сети TOR, указав 12 новых жертв на момент написания статьи.
Администратор LockBit в пространном последующем сообщении сообщил, что некоторые из их веб-сайтов были конфискованы, скорее всего, из-за использования критической ошибки PHP, отслеживаемой как CVE-2023-3824, признавая, что они не обновили PHP из-за "личной халатности и безответственности".
"Я понимаю, что, возможно, это был не этот CVE, а что-то другое, вроде 0-day для PHP, но я не могу быть уверен на 100%, потому что версия, установленная на моих серверах, уже была известна как имеющая известную уязвимость, так что, скорее всего, таким образом был получен доступ к серверам администратора и панели чата жертв, а также к серверу блога", - отметили они.
Они также заявили, что Федеральное бюро расследований США (ФБР) "взломало" их инфраструктуру из-за атаки программ-вымогателей на округ Фултон в январе и "украденные документы содержат много интересных вещей и судебные дела Дональда Трампа, которые могут повлиять на предстоящие выборы в США".
Помимо призывов чаще атаковать "сектор.gov", они заявили, что сервер, с которого власти получили более 1000 ключей дешифрования, содержал почти 20 000 дешифраторов, большинство из которых были защищены и составляли около половины от общего числа дешифраторов, созданных с 2019 года.
Далее группа добавила, что ники аффилированных лиц "не имеют ничего общего с их настоящими никами на форумах и даже никами в мессенджерах".
Это еще не все. В публикации также предпринималась попытка дискредитировать правоохранительные органы, утверждая, что настоящий "Басстерлорд" не был идентифицирован и что действия ФБР "направлены на уничтожение репутации моей партнерской программы".
"Почему на восстановление ушло 4 дня? Потому что мне пришлось отредактировать исходный код для последней версии PHP, поскольку возникла несовместимость", - сказали они.
"Я перестану лениться и сделаю так, что абсолютно каждая сборка локера будет с максимальной защитой, теперь не будет автоматической пробной расшифровки, все пробные расшифровки и выдача дешифраторов будут производиться только в ручном режиме. Таким образом, при возможной следующей атаке ФБР не сможет получить бесплатно ни одного дешифратора."
В России арестованы трое участников SugarLocker
Это произошло после того, как сотрудники российских правоохранительных органов арестовали трех человек, в том числе Александра Ненадкевича Ермакова (он же blade_runner, GustaveDore или JimJones), в связи с группой программ-вымогателей SugarLocker."Злоумышленники работали под прикрытием законной ИТ-фирмы Shtazi-IT, которая предлагает услуги по разработке целевых страниц, мобильных приложений, скриптов, парсеров и интернет-магазинов", - заявила российская компания по кибербезопасности F.A.C.C.T. "Компания открыто разместила объявления о найме новых сотрудников".
Операторы также обвинялись в разработке заказного вредоносного ПО, создании фишинговых сайтов для интернет-магазинов и привлечении трафика пользователей к мошенническим схемам, популярным в России и странах Содружества Независимых Государств (СНГ).
SugarLocker впервые появился в начале 2021 года и позже начал предлагаться по модели "вымогательство как услуга" (RaaS), передавая свое вредоносное ПО другим партнерам в рамках партнерской программы для взлома целевых объектов и развертывания полезной нагрузки программы-вымогателя.
Почти три четверти средств от выкупа поступают аффилированным лицам, и эта цифра возрастает до 90%, если сумма платежа превышает 5 миллионов долларов. Связи киберпреступной группировки с Shtazi-IT были ранее раскрыты Intel 471 в прошлом месяце.
Арест Ермакова примечателен, поскольку он произошел после того, как Австралия, Великобритания и США ввели финансовые санкции против него за его предполагаемую роль в атаке программ-вымогателей на поставщика медицинского страхования Medibank в 2022 году.
Атака программ-вымогателей, произошедшая в конце октября 2022 года и приписываемая ныне несуществующей группе программ-вымогателей REvil, привела к несанкционированному доступу примерно к 9,7 миллионам ее нынешних и бывших клиентов.
Украденная информация включала имена, даты рождения, номера Medicare и конфиденциальную медицинскую информацию, включая записи о психическом здоровье, сексуальном здоровье и употреблении наркотиков. Некоторые из этих записей также попали в темную Сеть.
Это также следует из отчета информационного агентства ТАСС, в котором сообщается, что 49-летний гражданин России предстанет перед судом по обвинению в проведении кибератаки на системы технологического управления, в результате которой 38 населенных пунктов Вологодской области остались без электричества.
Сага о LockBit — Хронология событий
- 20 ФЕВРАЛЯ 2024 Г.
LockBit взломан - власти конфискуют домены Darknet
Международная операция правоохранительных органов, включающая 11 стран и Европол, успешно захватила домены darknet, связанные с группой программ-вымогателей LockBit, которая с 2019 года вымогала более 91 миллиона долларов. Операция под названием Cronos использовала уязвимость в системе безопасности PHP для нарушения работы веб-сайтов LockBit, что нанесло значительный удар по деятельности группы. - 21 ФЕВРАЛЯ 2024 Г.
Хакеры LockBit арестованы - выпущен инструмент для расшифровки
NCA Великобритании отключает программу-вымогатель LockBit, арестовывает 2 в Польше / Украине, замораживает более 200 криптовалютных аккаунтов, предъявляет обвинения 2 россиянам в США. Изъяли код LockBit, разведданные, демонтировали 34 сервера, извлекли 1 тыс. ключей дешифрования. LockBit затронул 2,5 тыс. жертв по всему миру, заработал 120 млн долларов. Жертвам доступен инструмент дешифрования. - 22 ФЕВРАЛЯ 2024 Г.
Вознаграждение в размере 15 миллионов долларов лидерам программ-вымогателей LockBit
Госдепартамент США предлагает вознаграждение в размере 15 миллионов долларов за информацию о лидерах программ-вымогателей LockBit, участвовавших в более чем 2 тысячах глобальных атак с 2020 года, причинивших ущерб в размере 144 миллионов долларов. Правоохранительные органы нарушили работу LockBit, арестовав филиалы и наложив арест на активы. LockBit, известная программой-вымогателем как услугой, обширной партнерской сетью и инновационной тактикой, такой как программа вознаграждения за ошибки, остается серьезной киберугрозой, несмотря на неудачи. - 25 ФЕВРАЛЯ 2024 Г.
Главарь программ-вымогателей LockBit "Взаимодействует" с полицией
Сообщается, что лица, стоящие за сервисом программ-вымогателей LockBit, известным как LockBitSupp, сотрудничали с правоохранительными органами после значительного международного подавления операции "Программа-вымогатель как услуга" под названием Operation Cronos. - FEBRUARY 26, 2024
LockBit возвращается - призывает к атакам на правительство США
Группа программ-вымогателей LockBit вновь появилась в темной сети с новой инфраструктурой вскоре после того, как правоохранительные органы захватили ее серверы. Группа перечислила 12 новых жертв на своем портале утечки данных и обсудила захват своих веб-сайтов, приписав это потенциальной эксплуатации уязвимости PHP.
