Het Amerikaanse Federal Bureau of Investigation (FBI) heeft bekendgemaakt dat het in het bezit is van meer dan 7.000 decoderingssleutels die verband houden met de LockBit-ransomware-operatie om slachtoffers te helpen hun gegevens kosteloos terug te krijgen.
“We nemen contact op met bekende LockBit-slachtoffers en moedigen iedereen die vermoedt dat ze slachtoffer zijn aan om ons Internet Crime Complaint Center op ic3.gov te bezoeken”, zei FBI Cyber Division assistent-directeur Bryan Vorndran in een keynote speech op de Boston Conference on Cyber 2024. Beveiliging (BCCS).
LockBit, ooit een productieve ransomwarebende, is in verband gebracht met meer dan 2.400 aanvallen wereldwijd, waarbij maar liefst 1.800 getroffen entiteiten in de VS betrokken waren. Eerder deze maand werd een internationale wetshandhavingsoperatie genaamd Cronos onder leiding van de Britse National Crime Agency (NCA) uitgevoerd. heeft zijn online-infrastructuur ontmanteld.
Vorige maand werd een 31-jarige Russische staatsburger genaamd Dmitry Yuryevich Khoroshev door de autoriteiten ontmaskerd als beheerder en ontwikkelaar van de groep, een claim die LockBitSupp sindsdien heeft ontkend.
“Hij behoudt het imago van een schimmige hacker, die online aliassen gebruikt als 'Putinkrab', 'Nerowolfe' en 'LockBitsupp'”, zei Vorndran. “Maar in werkelijkheid is hij een crimineel, die meer verstrikt is in de bureaucratie van het leiden van zijn bedrijf dan in welke geheime activiteiten dan ook.”
Chorosjev zou ook andere ransomware-exploitanten hebben genoemd, zodat de wetshandhavers hem 'gemakkelijker konden aanpakken'. Ondanks deze acties is LockBit actief gebleven onder een nieuwe infrastructuur, ook al opereert het nergens op het vorige niveau.
Statistieken gedeeld door Malwarebytes laten zien dat de ransomware-familie in verband is gebracht met 28 bevestigde aanvallen in de maand april 2024, waarmee het achter Play, Hunters International en Black Basta komt te staan.
Vordan benadrukte ook dat bedrijven die ervoor kiezen om te betalen om het lekken van gegevens te voorkomen, geen garantie hebben dat de informatie daadwerkelijk door de aanvallers wordt verwijderd, en voegde eraan toe: “Zelfs als je de gegevens terugkrijgt van de criminelen, moet je ervan uitgaan dat deze op een dag kunnen worden vrijgegeven. anders wordt u op een dag opnieuw afgeperst voor dezelfde gegevens.”
Volgens het Veeam Ransomware Trends Report 2024, dat is gebaseerd op een onderzoek onder 1.200 beveiligingsprofessionals, kunnen organisaties die te maken krijgen met een ransomware-aanval gemiddeld slechts 57% van de aangetaste gegevens herstellen, waardoor ze kwetsbaar zijn voor ‘substantieel gegevensverlies en negatieve bedrijfsresultaten’. invloed.”
De ontwikkeling valt samen met de opkomst van nieuwe spelers zoals SenSayQ en CashRansomware (ook bekend als CashCrypt), terwijl bestaande ransomware-families zoals TargetCompany (ook bekend als Mallox en Water Gatpanapun) hun vak voortdurend verfijnen door gebruik te maken van een nieuwe Linux-variant om zich te richten op VMWare ESXi-systemen.
De aanvallen maken gebruik van kwetsbare Microsoft SQL-servers om initiële toegang te verkrijgen, een techniek die de groep sinds zijn aankomst in juni 2021 heeft toegepast. Het bepaalt ook of een gericht systeem in een VMWare ESXi-omgeving draait en beheerdersrechten heeft voordat verder wordt gegaan met de aanval. kwaadaardige routine.
“Deze variant maakt gebruik van een shellscript voor de levering en uitvoering van de payload”, aldus Trend Micro-onderzoekers Darrel Tristan Virtusio, Nathaniel Morales en Cj Arsley Mateo. “Het shellscript exfiltreert ook de informatie van het slachtoffer naar twee verschillende servers, zodat de ransomware-actoren een back-up van de informatie hebben.”
Het cyberbeveiligingsbedrijf heeft de aanvallen waarbij de nieuwe Linux-variant van de TargetCompany-ransomware werd ingezet toegeschreven aan een dochteronderneming genaamd Vampire, die vorige maand ook door Sekoia werd onthuld.