LockBit се завърнаха
По-рано този месец английската национална организация за битка с престъпността (National Crime Agency, NCA) се похвали, че дружно с сътрудници от 11 страни са изпратили в историята Lockbot. За страдание, както към този момент се е случвало, насладата беше кратковременна.
Миналата седмица NCA разгласиха детайлности за края на „ Операция Кронос “. Мащабната акция трае повече от година и в хода ѝ са осъществени арести на свързани с LockBit лица. Преди седмица те са нанесли заключителен удар по структурата на бандата. Иззети са 34 сървъра, данни, откраднати от жертвите, декриптиращи ключове, стихотворец е контрола над криптопортфейли. В хода на интервенцията са осъществени спомагателни арести, уеб страниците на LockBit са свалени. Това предполагаше, че ще е краят на LockBit, само че наподобява, че не е.
Bleeping Computer предава, че в събота LockBit са оповестили завръщането си с просторно известие. Те признават, че са показали немарливост, която е довела до триумфа на „ Операция Кронос “. Както преди седмица ви съобщихме, NCA са употребявали експлойт за PHP, което е довело до хакване на сървърите на LockBit. Хакерите прецизират, че са били наранени само сървърите, поддържащи PHP. Те имат намерение да реорганизират инфраструкурата си и са преместили уеб страниците си на различен.onion адрес. На него към този момент има посочени имената на пет нови жертви.
Хакерът, представящ се за индивида зад интервенциите на LockBit признава, че е показал небрежност. Той не запомнил да актуализира версиите на PHP, а управляващите евентуално са употребявали експлойт за CVE-2023-3824. Конкретната причина съгласно него за офанзивата е политическа. Властите се задействат след офанзивата към американската община Фултън каунти. Според него, те били обезпокоени да не изтече открадната в хода на офанзивата информация. Ставало въпрос за „ голям брой забавни неща и делото на Доналд Тръмп “. Което от своя страна можело да повлияе на изборите за президент в Съединени американски щати. Истината в изказванията на LockBit не наподобява да е доста. Атаката към Фултън каунти е от януари тази година, а „ Операция Кронос “ надали е изпитание, проведено за месец.
Заедно с всичко това, хакерът декларира, че оттук-нататък ще нападна преди всичко държавни запаси. Целта е да провокира ФБР и сътрудниците им. Той също твърди, че NCA лъжат за иззетото. По думите му не е откраднат изходния код на програмата. Те са съумели да доближат база данни, елементи от уеб-панела за ръководство и избран брой незащитени ключове за декриптиране.
Що се отнася до задържаните криптопортфейли обаче, евентуално LockBit го е заболяло. В хода „ Операция Кронос “, NCA и техните сътрудници поемат контрола на над 30 000 биткойн адреса. Към момента на интервенцията 500 от тези адреси били дейни в блокчейна. В хода на следствието се открива, че сред юли 2022 и февруари 2024 те получават над $125 милиона в откупи. Към момента на осуетяването на интервенциите на LockBit в тях има непохарчени над 220 BTC. Или над $110 милиона по настоящия курс на криптовалутата.
Сумата, прецизират NCA, съставлява заплащания към LockBit и от негова страна към обвързваните с групата киберпрестъпници. Както знаете LockBit работят по така наречен скица на „ рансъмуер като услуга “. При този бизнес модел основателите на кибервируса отдават кодова и сървърна инфраструктура „ чартърен “ против (както е в случая) 20% от откупа. Това кара NCA да допускат, че в хода на интервенциите си LockBit са генерирали облаги не в милиони, а милиарди.
За страдание, признаци, че „ Операция Кронос “ не е края на LockBit ни подсказа още вест от предходната седмица. Става дума за стартиралите офанзиви към CVE-2024-1709 – сериозна накърнимост в ScreenConnect на Connectwise. Дупката в софтуера стартира да се експлоатира за инсталирането точно на LockBit
