Nhóm ransomware LockBit đã xuất hiện trở lại trên dark web bằng cách sử dụng cơ sở hạ tầng mới, vài ngày sau khi một cơ quan thực thi pháp luật quốc tế nắm quyền kiểm soát các máy chủ của nó.
Cuối cùng, nhóm khét tiếng đã chuyển cổng rò rỉ dữ liệu của mình sang một địa chỉ .onion mới trên mạng TOR, liệt kê 12 nạn nhân mới khi viết bài.
Quản trị viên đằng sau LockBit, trong một tin nhắn tiếp theo dài, cho biết một số trang web của họ đã bị tịch thu bởi rất có thể khai thác một lỗ hổng PHP nghiêm trọng được theo dõi là CVE-2023-3824, thừa nhận rằng họ đã không cập nhật PHP do "sơ suất cá nhân và vô trách nhiệm".
"Tôi nhận ra rằng nó có thể không phải là CVE này, mà là một cái gì đó khác như 0-day cho PHP, nhưng tôi không thể chắc chắn 100%, bởi vì phiên bản được cài đặt trên máy chủ của tôi đã được biết là có một lỗ hổng đã biết, vì vậy đây rất có thể là cách quản trị viên và máy chủ bảng trò chuyện của nạn nhân và máy chủ blog đã được truy cập, ", họ lưu ý.
Họ cũng tuyên bố Cục Điều tra Liên bang Hoa Kỳ (FBI) đã "tấn công" cơ sở hạ tầng của họ vì một cuộc tấn công ransomware vào Hạt Fulton vào tháng Giêng và "các tài liệu bị đánh cắp chứa rất nhiều điều thú vị và các vụ kiện của Donald Trump có thể ảnh hưởng đến cuộc bầu cử sắp tới của Hoa Kỳ."
Ngoài việc kêu gọi tấn công "khu vực .gov" thường xuyên hơn, họ tuyên bố rằng máy chủ mà chính quyền thu được hơn 1.000 khóa giải mã chứa gần 20.000 trình giải mã, hầu hết trong số đó đã được bảo vệ và chiếm khoảng một nửa tổng số bộ giải mã được tạo ra kể từ năm 2019.
Nhóm tiếp tục nói thêm rằng biệt danh của các chi nhánh "không liên quan gì đến biệt danh thực sự của họ trên các diễn đàn và thậm chí cả biệt danh trong các sứ giả".
Đó không phải là tất cả. Bài đăng cũng cố gắng làm mất uy tín của các cơ quan thực thi pháp luật, tuyên bố "Bassterlord" thực sự chưa được xác định và các hành động của FBI là "nhằm phá hủy danh tiếng của chương trình liên kết của tôi".
"Tại sao phải mất 4 ngày để hồi phục? Bởi vì tôi đã phải chỉnh sửa mã nguồn cho phiên bản PHP mới nhất, vì không tương thích", họ nói.
"Tôi sẽ ngừng lười biếng và làm cho nó để hoàn toàn mọi loker xây dựng sẽ được bảo vệ tối đa, bây giờ sẽ không có giải mã thử nghiệm tự động, tất cả các giải mã thử nghiệm và phát hành bộ giải mã sẽ chỉ được thực hiện ở chế độ thủ công. Do đó, trong cuộc tấn công tiếp theo có thể xảy ra, FBI sẽ không thể có được một bộ giải mã nào miễn phí".
Nga bắt giữ ba thành viên SugarLocker#
Sự phát triển này diễn ra khi các quan chức thực thi pháp luật Nga đã bắt giữ ba cá nhân, bao gồm Aleksandr Nenadkevichite Ermakov (hay còn gọi là blade_runner, GustaveDore, hoặc JimJones), liên quan đến nhóm ransomware SugarLocker.
"Những kẻ tấn công hoạt động dưới vỏ bọc của một công ty CNTT hợp pháp Shtazi-IT, cung cấp dịch vụ phát triển trang đích, ứng dụng di động, tập lệnh, trình phân tích cú pháp và cửa hàng trực tuyến", công ty an ninh mạng F.A.C.C.T. của Nga cho biết. "Công ty đã công khai đăng quảng cáo tuyển dụng nhân viên mới."
Các nhà khai thác cũng bị cáo buộc phát triển phần mềm độc hại tùy chỉnh, tạo các trang web lừa đảo cho các cửa hàng trực tuyến và hướng lưu lượng truy cập của người dùng đến các âm mưu lừa đảo phổ biến ở Nga và Cộng đồng các quốc gia độc lập (CIS).
SugarLocker xuất hiện lần đầu tiên vào đầu năm 2021 và sau đó bắt đầu được cung cấp theo mô hình ransomware-as-a-service (RaaS), cho các đối tác khác thuê phần mềm độc hại theo chương trình liên kết để vi phạm mục tiêu và triển khai tải trọng ransomware.
Gần ba phần tư số tiền chuộc được chuyển đến các chi nhánh, một con số nhảy vọt lên 90% nếu khoản thanh toán vượt quá 5 triệu đô la. Mối liên hệ của băng đảng tội phạm mạng với Shtazi-IT trước đây đã được Intel 471 tiết lộ vào tháng trước.
Việc bắt giữ Ermakov là đáng chú ý, vì nó diễn ra sau khi Úc, Anh và Mỹ áp đặt các biện pháp trừng phạt tài chính đối với anh ta vì vai trò bị cáo buộc của anh ta trong cuộc tấn công ransomware năm 2022 chống lại nhà cung cấp bảo hiểm y tế Medibank.
Cuộc tấn công ransomware, diễn ra vào cuối tháng 10/2022 và được cho là do nhóm ransomware REvil hiện không còn tồn tại, đã dẫn đến việc truy cập trái phép khoảng 9,7 triệu khách hàng hiện tại và trước đây.
Thông tin bị đánh cắp bao gồm tên, ngày sinh, số Medicare và thông tin y tế nhạy cảm, bao gồm hồ sơ về sức khỏe tâm thần, sức khỏe tình dục và sử dụng ma túy. Một số hồ sơ này cũng tìm đường đến dark web.
Nó cũng theo sau một báo cáo từ hãng tin TASS, tiết lộ rằng một công dân Nga 49 tuổi sẽ phải đối mặt với phiên tòa về tội thực hiện một cuộc tấn công mạng vào các hệ thống kiểm soát công nghệ khiến 38 khu định cư của Vologda không có điện.