Ciberseguridad 360 | LockBit Ransomware Group regresa después de interrupción policial

La banda LockBit est� relanzando su operaci�n de ransomware en una nueva infraestructura en menos de una semana despu�s de que las fuerzas de seguridad hackearan sus servidores, y amenaza con centrar m�s sus ataques en el sector gubernamental.

En un mensaje bajo un simulacro de filtraci�n del FBI -espec�ficamente para llamar la atenci�n-, la banda public� un extenso mensaje sobre su negligencia al permitir la filtraci�n y los planes de la operaci�n de cara al futuro.

El Ransomware LockBit sigue atacando

El 19 de febrero, las autoridades desmantelaron la infraestructura de LockBit, que inclu�a 34 servidores que albergaban el sitio web de filtraci�n de datos y sus r�plicas, datos robados a las v�ctimas, direcciones de criptomonedas, claves de descifrado y el panel de afiliados.

Cinco d�as despu�s, LockBit est� de vuelta y proporciona detalles sobre la brecha y c�mo van a gestionar el negocio para que su infraestructura sea m�s dif�cil de hackear.

Inmediatamente despu�s del desmantelamiento, la banda confirm� la brecha diciendo que s�lo hab�an perdido los servidores que ejecutaban PHP y que los sistemas de copia de seguridad sin PHP estaban intactos.

El s�bado, LockBit anunci� que reanudaba el negocio del ransomware y public� un comunicado de control de da�os en el que admit�a que "la negligencia y la irresponsabilidad personales" llevaron a las fuerzas de seguridad a interrumpir su actividad en la Operaci�n Cronos.

La banda mantuvo el nombre de la marca y traslad� su sitio de filtraci�n de datos a una nueva direcci�n .onion que enumera cinco v�ctimas con temporizadores de cuenta atr�s para publicar la informaci�n robada.

El relanzamiento del sitio de filtraci�n de datos de LockBit muestra cinco v�ctimas

Servidor PHP anticuado

LockBit dice que las fuerzas de seguridad, a las que se refieren colectivamente como el FBI, violaron dos servidores principales "porque durante 5 a�os nadando en dinero me volv� muy perezoso".

"Debido a mi negligencia e irresponsabilidad personal me relaj� y no actualic� PHP a tiempo". El actor de la amenaza dice que el servidor de paneles de administraci�n y chat de la v�ctima y el servidor del blog ejecutaban PHP 8.1.2 y probablemente fueron hackeados utilizando una vulnerabilidad cr�tica rastreada como CVE-2023-3824.

LockBit afirma que actualiz� el servidor PHP y anunci� que recompensar�a a quien encontrara una vulnerabilidad en la �ltima versi�n.

Especulando sobre la raz�n por la que "el FBI" hacke� su infraestructura, el ciberdelincuente dice que fue por el ataque de ransomware al condado de Fulton en enero, lo que supuso el riesgo de filtrar informaci�n con "un mont�n de cosas interesantes y los casos judiciales de Donald Trump que podr�an afectar a las pr�ximas elecciones estadounidenses."

Esto llev� a LockBit a creer que atacando "el sector .gov m�s a menudo" obligar�n "al FBI" a demostrar si tiene capacidad para atacar a la banda.

El actor de la amenaza afirma que las fuerzas de seguridad "obtuvieron una base de datos, fuentes de paneles web, talones de taquilla que no son fuentes como ellos afirman y una peque�a parte de desencriptadores desprotegidos."

Paneles de afiliados descentralizados

Durante la Operaci�n Cronos, las autoridades recogieron m�s de 1.000 claves de descifrado. LockBit afirma que la polic�a obtuvo las claves de "descifradores no protegidos" y que en el servidor hab�a casi 20.000 descifradores, aproximadamente la mitad de los cerca de 40.000 generados durante toda la operaci�n.

El autor de la amenaza define los "descifradores desprotegidos" como versiones del malware de cifrado de archivos que no tienen activada la funci�n de "m�xima protecci�n contra el descifrado", utilizada normalmente por afiliados de bajo nivel que obtienen peque�os rescates de apenas 2.000 d�lares.

LockBit planea mejorar la seguridad de su infraestructura y pasar a liberar manualmente descifradores y descifradores de archivos de prueba, as� como alojar el panel de afiliados en varios servidores y proporcionar a sus socios acceso a diferentes copias en funci�n del nivel de confianza.

"Debido a la separaci�n del panel y una mayor descentralizaci�n, la ausencia de descifrados de prueba en modo autom�tico, la m�xima protecci�n de los descifradores para cada empresa, la posibilidad de hacking se reducir� significativamente" - LockBit

El largo mensaje de LockBit parece un control de da�os y un intento de restaurar la credibilidad de una reputaci�n manchada.

La banda recibi� un duro golpe e incluso si consigui� restaurar los servidores los afiliados tienen una buena raz�n para desconfiar.

Fuente: bleepingcomputer.com