La banda LockBit está relanzando su operación de ransomware en una nueva infraestructura menos de una semana después de que las fuerzas del orden hackearan sus servidores, y amenaza con centrar más sus ataques en el sector gubernamental.
En un mensaje bajo una filtración del FBI, específicamente para llamar la atención, la pandilla publicó un extenso mensaje sobre su negligencia que permitió la violación y los planes para la operación en el futuro.
El ransomware LockBit continúa atacando
El sábado, LockBit anunció que estaba reanudando el negocio de ransomware y publicó un comunicado de control de daños en el que admitía que la «negligencia personal y la irresponsabilidad» llevaron a las fuerzas del orden a interrumpir su actividad en la Operación Cronos.
La pandilla mantuvo el nombre de la marca y trasladó su sitio de filtración de datos a una nueva dirección .onion que enumera a cinco víctimas con temporizadores de cuenta regresiva por publicar información robada.
Fuente: BleepingComputer
El 19 de febrero, las autoridades desmantelaron la infraestructura de LockBit, que incluía 34 servidores que alojaban el sitio web de fuga de datos y sus espejos, datos robados a las víctimas, direcciones de criptomonedas, claves de descifrado y el panel de afiliados.
Inmediatamente después del derribo, la banda confirmó la violación diciendo que solo perdieron los servidores que ejecutaban PHP y que los sistemas de copia de seguridad sin PHP no se tocaron.
Cinco días después, LockBit está de vuelta y proporciona detalles sobre la brecha y cómo van a administrar el negocio para hacer que su infraestructura sea más difícil de piratear.
Servidor PHP obsoleto
LockBit dice que las fuerzas del orden, a las que se refieren colectivamente como el FBI, violaron dos servidores principales «porque durante 5 años de nadar en dinero me volví muy perezoso».
«Debido a mi negligencia personal e irresponsabilidad, me relajé y no actualicé PHP a tiempo.» El actor de amenazas dice que el servidor de los paneles de chat y administración de la víctima y el servidor de blogs ejecutaban PHP 8.1.2 y probablemente fueron pirateados utilizando una vulnerabilidad crítica rastreada como CVE-2023-3824.
LockBit dice que actualizaron el servidor PHP y anunciaron que recompensarían a cualquiera que encuentre una vulnerabilidad en la última versión.
Especulando sobre la razón por la que «el FBI» hackeó su infraestructura, el ciberdelincuente dice que fue por el ataque de ransomware en el condado de Fulton en enero, que planteó el riesgo de filtrar información con «muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses».
Esto llevó a LockBit a creer que al atacar «el sector .gov más a menudo» obligarían al «FBI» a demostrar si tiene la capacidad de atacar a la pandilla.
El actor de amenazas dice que las fuerzas del orden «obtuvieron una base de datos, fuentes de paneles web, talones de casilleros que no son fuente como afirman y una pequeña parte de descifradores desprotegidos».
Paneles de afiliados descentralizados
Durante la Operación Cronos, las autoridades recogieron más de 1.000 claves de descifrado. LockBit afirma que la policía obtuvo las claves de «descifradores desprotegidos» y que en el servidor había casi 20.000 descifradores, aproximadamente la mitad de los aproximadamente 40.000 generados durante toda la vida útil de la operación.
El actor de amenazas define los «descifradores desprotegidos» como compilaciones del malware de cifrado de archivos que no tenían habilitada la función de «máxima protección de descifrado», generalmente utilizada por afiliados de bajo nivel que aceptan rescates más pequeños de solo $ 2,000.
LockBit planea mejorar la seguridad de su infraestructura y pasar a liberar manualmente descifradores y descifrar archivos de prueba, así como alojar el panel de afiliados en varios servidores y proporcionar a sus socios acceso a diferentes copias según el nivel de confianza.
«Debido a la separación del panel y una mayor descentralización, la ausencia de descifradores de prueba en modo automático, la máxima protección de los descifradores para cada empresa, la posibilidad de piratería se reducirá significativamente» – LockBit
El largo mensaje de LockBit parece un control de daños y un intento de restaurar la credibilidad de una reputación manchada.
La pandilla recibió un duro golpe e incluso si logró restaurar los servidores, los afiliados tienen una buena razón para desconfiar.
Fuente: https://www.bleepingcomputer.com
