En breve: Apenas ha pasado una semana desde que LockBit vio su sitio web invadido y sus operaciones interrumpidas por una operación internacional conjunta, pero el grupo de ransomware más prolífico del mundo ya ha regresado. La pandilla dice que ha restaurado sus servidores y ha vuelto al negocio del cibercrimen.
El sitio web de LockBit mostró la semana pasada un banner informando a los visitantes que estaba bajo el control de las autoridades. La operacion involucrado la Agencia Nacional contra el Crimen (NCA) del Reino Unido, el FBI y un grupo de trabajo internacional llamado Operación Cronos. Las operaciones de LockBit fueron interrumpidas y presuntos miembros del grupo fueron arrestados en varios países.
LockBit dijo en ese momento que el FBI violó los servidores de la operación de ransomware utilizando un exploit PHP, pero sus servidores de respaldo no habían sido tocados.
«Todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se ven afectados y continuarán brindando datos robados de las compañías atacadas», dijo LockBit en un comunicado en su sitio darkweb.
LockBit también dijo que estaba reanudando el negocio de ransomware y admitió que «negligencia personal e irresponsabilidad» llevaron a que las fuerzas del orden interrumpieran sus actividades, escribe. pitidocomputadora. «Porque durante 5 años nadando en dinero me volví muy vago», escribió el actor de amenazas. «Debido a mi negligencia personal e irresponsabilidad me relajé y no actualicé PHP a tiempo».
El grupo dice que el administrador, el servidor de los paneles de chat y el servidor del blog ejecutaban PHP 8.1.2 y probablemente fueron pirateados utilizando la vulnerabilidad crítica CVE-2023-3824.
El mensaje afirma que el FBI hackeó la infraestructura de LockBit debido al ataque de ransomware en el condado de Fulton que reveló «muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses». La pandilla dijo que tiene la intención de atacar al sector gubernamental con más frecuencia en el futuro para ver si las fuerzas del orden tienen la capacidad de contraatacar.
El sitio de filtración de datos de LockBit se ha trasladado a una nueva dirección .onion que muestra cinco temporizadores de cuenta regresiva con nombres de empresas. Indican cuánto tiempo tiene cada organización para pagar el rescate, transcurrido el cual se publicará la información robada.
La NCA del Reino Unido dijo PCMag que, trabajando con socios internacionales, se había infiltrado con éxito y tomado el control de los sistemas de Lockbit, y pudo comprometer toda su operación criminal.
«Sus sistemas han sido destruidos por la NCA y consideramos que LockBit sigue completamente comprometido».
«Reconocimos que LockBit probablemente intentaría reagruparse y reconstruir sus sistemas», añadió la NCA. «Sin embargo, hemos reunido una enorme cantidad de información sobre ellos y sus asociados, y nuestro trabajo para atacarlos y perturbarlos continúa».
Las autoridades dicen que han recopilado más de 1.000 claves de descifrado como parte de su operación contra LockBit, aunque el grupo afirma que esta cifra está siendo muy exagerada y que existen alrededor de 40.000 claves en total.
Tope: Freepik