Сайт утечки LockBit снова появился через неделю после «полной компрометации»

Программа-вымогатель LockBit как услуга (RaaS) вновь запустила сайт утечки всего через неделю после скоординированная операция по уничтожению от мировых правоохранительных органов.

19 февраля «оперативная группа операции Кронос», в которую входят, среди прочего, ФБР, Европол и Национальное агентство по борьбе с преступностью Великобритании (NCA), провела масштабную акцию. По данным Национального агентства по борьбе с преступностью Великобритании (NCA)Спецгруппа ликвидировала инфраструктуру, разбросанную по трем странам, включая десятки серверов. Он конфисковал код и другую ценную информацию, множество данных, украденных у жертв, а также более 1,000 связанных с ним ключей дешифрования. Он разрушил сайт утечки информации группы и ее партнерский портал, заморозил более 200 криптовалютных счетов, арестовал гражданина Польши и Украины и предъявил обвинения двум гражданам России.

Представитель НКА подвела итоги 26 февраля, сообщив агентству Reuters, что группа «по-прежнему полностью скомпрометирована».

Однако этот человек добавил, что «наша работа по их выявлению и пресечению продолжается».

Действительно, операция «Кронос», возможно, не была такой всеобъемлющей, как казалось на первый взгляд. Хотя правоохранительным органам удалось повредить основную инфраструктуру LockBit, ее лидер признался в письме, его резервные системы остались нетронутыми, что позволило операции быстро восстановиться.

Сообщение оставлено на партнерском портале LockBit; Источник: vx-underground через X (ранее Twitter)

«В конце концов, это серьезный удар со стороны правоохранительных органов по ним», — говорит бывший специальный агент ФБР Майкл Макферсон, ныне старший вице-президент по техническим операциям в ReliaQuest. «Я не думаю, что кто-то настолько наивен, чтобы сказать, что это гвоздь в гроб этой группы, но это удар по телу».

Сторона истории LockBit

Было бы разумно поприветствовать лидера LockBit со скептицизмом. «Как и многие из этих парней, занимающихся программами-вымогателями, у него сильное эго, он немного непостоянный. И он, как известно, рассказывает довольно небылицы, когда это соответствует его целям», — говорит Куртис Миндер, переговорщик по вопросам вымогательства, а также соучредитель и генеральный директор GroupSense.

Однако в своем письме человек или люди, которых Миндер называет «Алексом», звучат особенно скромно.

«Из-за моей личной халатности и безответственности я расслабился и не обновил PHP вовремя», — написал главарь вымогателя, ссылаясь на критическую ошибку PHP с рейтингом 9.8 из 10 по шкале CVSS. CVE-2023-3824 «В результате чего был получен доступ к двум основным серверам, на которых была установлена ​​данная версия PHP. Я понимаю, что это мог быть не CVE, а что-то другое, например 0day для PHP, но я не могу быть уверен на 100%».

Важно отметить, что он добавил: «Все остальные серверы с резервными блогами, на которых не установлен PHP, не затронуты и будут продолжать выдавать данные, украденные у атакованных компаний». Действительно, благодаря этой избыточности сайт утечки LockBit снова заработал через неделю, на нем фигурирует дюжина жертв: кредитная платформа, национальная сеть стоматологических лабораторий и, в первую очередь, округ Фултон, штат Джорджия, где находится бывший президент Трамп. в настоящее время участвует в судебной тяжбе.

Источник: Битдефендер

Имеют ли последствия действия правоохранительных органов?

В течение многих лет правоохранительные органы США и ЕС попадали в заголовки газет благодаря громким рейдам на крупные операции с программами-вымогателями: Hive, АльфВ/БлэкКэт, Рагнар Локер, и так далее. Что, несмотря на эти усилия количество программ-вымогателей продолжает расти может вызвать апатию у некоторых.

Но после таких рейдов, как объясняет Макферсон, «либо эти группы не восстановились, либо они восстановились в меньшей степени. Мол, Hive пока не смог вернуться — интерес к нему был, но толком не материализовался».

Даже если правоохранительные органы не уничтожили LockBit полностью, это, скорее всего, нанесло хакерам большой вред. Например, как отмечает Миндер, «они, очевидно, получили доступ к некоторой информации филиалов», что дает властям значительные рычаги влияния.

«Если я партнер или другой разработчик программ-вымогателей, я мог бы дважды подумать, прежде чем взаимодействовать с этими людьми на случай, если они стал информатором ФБР. Так что это вызывает некоторое недоверие. С другой стороны, я думаю, что они делают то же самое с LockBit, говоря: «Эй, мы на самом деле знаем, кто все филиалы, мы получили всю их контактную информацию». Так что теперь LockBit будет с подозрением относиться к своим филиалам. Это немного хаоса. Это интересно."

Однако, чтобы действительно решить проблему программ-вымогателей в долгосрочной перспективе, правительствам, возможно, придется дополнить эффектные меры борьбы с ними эффективной политикой и программами.

«Должна быть сбалансированная программа, возможно, на уровне федерального правительства, которая действительно помогает в профилактике, реагировании и восстановлении. Я думаю, если бы мы увидели, сколько капитала на самом деле уходит из экономики США в результате такого рода деятельности, мы бы увидели, что имеет смысл субсидировать подобную программу, которая убережет людей от необходимости платить выкуп». он говорит.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-