Gang LockBit wznawia działanie oprogramowania ransomware w nowej infrastrukturze niecały tydzień po włamaniu się organów ścigania na ich serwery i grozi skupieniem większej liczby ataków na sektorze rządowym.

W wiadomości będącej fałszywym przeciekiem FBI – specjalnie po to, by zwrócić na siebie uwagę – gang opublikował obszerną wiadomość o swoim zaniedbaniu, które umożliwiło włamanie, oraz o planach dalszej operacji.

Ransomware LockBit kontynuuje ataki

W sobotę firma LockBit ogłosiła, że ​​wznawia działalność związaną z oprogramowaniem ransomware i opublikowała komunikat dotyczący kontroli szkód, w którym przyznaje, że „osobiste zaniedbanie i nieodpowiedzialność” doprowadziły do ​​zakłócenia działalności organów ścigania w ramach operacji Cronos.

Gang zachował markę i przeniósł witrynę, w której wyciekły dane, pod nowy adres .onion, który zawiera listę pięciu ofiar wraz ze licznikami czasu potrzebnymi do opublikowania skradzionych informacji.

19 lutego władze zlikwidowały infrastrukturę LockBit, która obejmowała 34 serwery hostujące witrynę umożliwiającą wyciek danych i jej serwery lustrzane, dane skradzione ofiarom, adresy kryptowalut, klucze odszyfrowujące oraz panel partnerski.

Natychmiast po usunięciu gang potwierdził naruszenie, twierdząc, że utracił jedynie serwery z PHP i że systemy tworzenia kopii zapasowych bez PHP pozostały nienaruszone.

Pięć dni później LockBit powraca i przedstawia szczegółowe informacje na temat naruszenia oraz sposobu, w jaki zamierza prowadzić firmę, aby utrudnić zhakowanie infrastruktury.

Przestarzały serwer PHP

LockBit twierdzi, że organy ścigania, które określają zbiorczą nazwą FBI, włamały się na dwa główne serwery, „ponieważ przez 5 lat pływania w pieniądzach stałem się bardzo leniwy”.

„Z powodu mojego osobistego zaniedbania i nieodpowiedzialności odpuściłem i nie zaktualizowałem PHP na czas.” Osoba atakująca twierdzi, że na serwerze administracyjnym i panelach czatu ofiary oraz na serwerze blogów działał PHP 8.1.2 i prawdopodobnie doszło do ataku hakerskiego przy użyciu krytycznej luki w zabezpieczeniach oznaczonej jako CVE-2023-3824.

LockBit twierdzi, że zaktualizował serwer PHP i ogłosił, że nagrodzi każdego, kto znajdzie lukę w najnowszej wersji.

Spekulując na temat powodu, dla którego „FBI” włamało się do ich infrastruktury, cyberprzestępca twierdzi, że było to spowodowane styczniowym atakiem oprogramowania ransomware na hrabstwo Fulton, który stwarzał ryzyko wycieku informacji „wiele interesujących rzeczy i spraw sądowych Donalda Trumpa, które mogły wpłynąć na nadchodzące wybory w USA.”

To doprowadziło LockBit do przekonania, że ​​atakując „częstszy sektor .gov”, zmusi „FBI” do wykazania, czy jest w stanie zaatakować gang.

Podmiot zagrażający twierdzi, że organy ścigania „zdobyły bazę danych, źródła panelu internetowego, fragmenty skrytek, które nie są źródłem, jak twierdzą, oraz niewielką część niechronionych programów deszyfrujących”.

Zdecentralizowane panele afiliacyjne

Podczas operacji Cronos władze zebrały ponad 1000 kluczy deszyfrujących. LockBit twierdzi, że policja uzyskała klucze od „niezabezpieczonych deszyfratorów” i że na serwerze znajdowało się prawie 20 000 deszyfratorów, czyli około połowa z około 40 000 wygenerowanych przez cały okres operacji.

Podmiot zagrażający definiuje „niechronione programy deszyfrujące” jako kompilacje złośliwego oprogramowania szyfrującego pliki, które nie mają włączonej funkcji „maksymalnej ochrony przed odszyfrowaniem”, zwykle używane przez podmioty stowarzyszone niskiego poziomu, które pobierają mniejszy okup w wysokości zaledwie 2000 dolarów.

LockBit planuje ulepszyć bezpieczeństwo swojej infrastruktury i przejść na ręczne udostępnianie deszyfratorów i próbne odszyfrowywanie plików, a także hostować panel partnerski na wielu serwerach i zapewniać swoim partnerom dostęp do różnych kopii w zależności od poziomu zaufania.

Długa wiadomość od LockBit wygląda na kontrolę szkód i próbę przywrócenia wiarygodności skażonej reputacji.

Gang przyjął ciężki cios i nawet jeśli udało mu się przywrócić serwery, jego filie mają dobry powód, aby zachować nieufność.