De bedreigingsactoren achter de LockBit-ransomware-operatie zijn weer opgedoken op het dark web met behulp van nieuwe infrastructuur, dagen nadat een internationale wetshandhavingsoefening de controle over de servers had overgenomen.
Daartoe heeft de beruchte groep zijn datalekportaal verplaatst naar een nieuw .onion-adres op het TOR-netwerk, met op het moment van schrijven twaalf nieuwe slachtoffers.
De beheerder achter LockBit, in a lang vervolgberichtzei dat sommige van hun websites in beslag zijn genomen door hoogstwaarschijnlijk misbruik te maken van een kritieke PHP-fout die wordt bijgehouden als CVE-2023-3824, en erkent dat ze PHP niet hebben bijgewerkt vanwege “persoonlijke nalatigheid en onverantwoordelijkheid.”
“Ik realiseer me dat het misschien niet deze CVE is geweest, maar iets anders als 0-day voor PHP, maar ik kan er niet 100% zeker van zijn, omdat het al bekend was dat de versie die op mijn servers was geïnstalleerd een bekende kwetsbaarheid had, dus dit is hoogstwaarschijnlijk de manier waarop de beheerders- en chatpanelservers van de slachtoffers en de blogserver werden benaderd”, merkten ze op.
Ze beweerden ook dat het Amerikaanse Federal Bureau of Investigation (FBI) hun infrastructuur ‘gehackt’ had vanwege een ransomware-aanval op Fulton County in januari en dat de ‘gestolen documenten veel interessante dingen bevatten en de rechtszaken van Donald Trump die van invloed zouden kunnen zijn op de komende Amerikaanse verkiezingen. .”
Ze riepen ook op om de “.gov-sector” vaker aan te vallen, terwijl ze ook verklaarden dat de server waarvan de autoriteiten meer dan 1.000 decryptiesleutels hadden verkregen, bijna 20.000 decryptors bevatte, waarvan de meeste beschermd waren en ongeveer de helft van het totale aantal decryptie-sleutels voor hun rekening namen. decryptors gegenereerd sinds 2019.
De groep voegde er verder aan toe dat de bijnamen van de aangesloten bedrijven “niets te maken hebben met hun echte bijnamen op forums en zelfs bijnamen in boodschappers.”
Dat is niet alles. De post probeerde ook wetshandhavingsinstanties in diskrediet te brengen, door te beweren dat de echte “Bassterlord” niet is geïdentificeerd, en dat de FBI-acties “gericht zijn op het vernietigen van de reputatie van mijn aangesloten programma”.
“Waarom duurde het vier dagen om te herstellen? Omdat ik de broncode voor de nieuwste versie van PHP moest bewerken, omdat er incompatibiliteit was”, zeiden ze.
“Ik zal ophouden lui te zijn en ervoor zorgen dat absoluut elke build-loker maximale bescherming krijgt. Nu zal er geen automatische proefdecodering meer zijn, alle proefdecoderingen en de uitgifte van decryptors zullen alleen in de handmatige modus plaatsvinden. Dus in de mogelijke omstandigheden Bij de volgende aanval zal de FBI geen enkele decryptor gratis kunnen krijgen.”
Rusland arresteert drie SugarLocker-leden
De ontwikkeling komt op het moment dat Russische wetshandhavers drie personen hebben gearresteerd, waaronder Aleksandr Nenadkevichite Ermakov (ook bekend als blade_runner, GustaveDore of JimJones), in verband met de SugarLocker-ransomwaregroep.
“De aanvallers werkten onder het mom van een legitiem IT-bedrijf Shtazi-IT, dat diensten aanbiedt voor de ontwikkeling van landingspagina’s, mobiele applicaties, scripts, parsers en online winkels”, aldus het Russische cyberbeveiligingsbedrijf FACCT. “Het bedrijf plaatste openlijk advertenties voor het aannemen van nieuwe werknemers.”
De operators zijn ook beschuldigd van het ontwikkelen van aangepaste malware, het creëren van phishing-sites voor online winkels en het omleiden van gebruikersverkeer naar frauduleuze programma’s die populair zijn in Rusland en de landen van het Gemenebest van Onafhankelijke Staten (GOS).
SugarLocker verscheen voor het eerst begin 2021 en werd later aangeboden onder het ransomware-as-a-service (RaaS)-model, waarbij de malware aan andere partners werd verhuurd in het kader van een aangesloten programma om doelen te doorbreken en de ransomware-payload in te zetten.
Bijna driekwart van de opbrengst van het losgeld gaat naar de aangesloten bedrijven, een cijfer dat oploopt tot 90% als de betaling meer dan $ 5 miljoen bedraagt. De banden van de cybercriminaliteitsbende met Shtazi-IT werden vorige maand eerder onthuld door Intel 471.
De arrestatie van Ermakov is opmerkelijk, omdat deze plaatsvindt in de nasleep van het feit dat Australië, Groot-Brittannië en de VS hem financiële sancties hebben opgelegd vanwege zijn vermeende rol in de ransomware-aanval van 2022 op zorgverzekeraar Medibank.
De ransomware-aanval, die eind oktober 2022 plaatsvond en werd toegeschreven aan de inmiddels ter ziele gegane REvil-ransomwareploeg, leidde tot de ongeoorloofde toegang van ongeveer 9,7 miljoen van zijn huidige en voormalige klanten.
De gestolen informatie omvatte namen, geboortedata, Medicare-nummers en gevoelige medische informatie, waaronder gegevens over geestelijke gezondheid, seksuele gezondheid en drugsgebruik. Sommige van deze records vonden ook hun weg naar het dark web.
Het volgt ook op een rapport van persbureau TASS, waaruit bleek dat een 49-jarige Rus terecht zal staan op beschuldiging van het uitvoeren van een cyberaanval op technologische controlesystemen waardoor 38 nederzettingen van de Vologda zonder stroom kwamen te zitten.
