«No le presté mucha atención, porque durante 5 años nadando en dinero me volví muy vago», dijo LockBitSupp. “A las 20:47 descubrí que el sitio da un nuevo error 404 Not Found nginx, intenté ingresar al servidor a través de SSH y no pude, la contraseña no encajaba, como luego resultó que se borró toda la información de los discos. «
La nota explicaba además que los servidores pirateados ejecutaban PHP versión 8.1.2, que se ve afectada por una falla que permite la ejecución remota de código (RCE). CVE-2023-3824lo que posiblemente permitió a las autoridades obtener acceso a los sistemas de LockBit.
«Ya se sabía que la versión instalada en mis servidores tenía una vulnerabilidad conocida, por lo que lo más probable es que así sea como se accedió a los servidores del panel de chat y administración de las víctimas y al servidor del blog», agregó LockBitSupp, señalando que ahora se están ejecutando nuevos servidores LockBit. la última versión de PHP 8.3.3.
Todos los demás servidores que no tenían PHP instalado no se ven afectados y seguirán proporcionando datos robados de las empresas atacadas, añade la nota.
LockBit para realizar algunos ajustes de infraestructura
En la incautación, las fuerzas del orden internacional se apoderaron de muchos de los sitios de filtración de LockBit, 34 de sus servidores que se encuentran en los Estados Unidos, el Reino Unido, los Países Bajos, Alemania, Finlandia, Francia, Suiza y Australia, 200 cuentas de criptomonedas y 14.400 cuentas de correo electrónico fraudulentas.
Además, las autoridades habían recopilado alrededor de 1000 claves de descifrado, que según la nota se obtuvieron de «descifradores desprotegidos» y representan solo el 2,5% del número total de descifradores que LockBit emitió dentro de los cinco años de sus operaciones. Aunque es malo, no es fatal para sus operaciones, añadió LockBitSupp.