Los piratas informáticos de LockBit Ransomware resurgen después del derribo de las fuerzas del orden

Tras una reciente represión por parte de las fuerzas del orden que interrumpió temporalmente sus operaciones , el grupo de ransomware LockBit ha resurgido en la web oscura con renovado vigor. En un movimiento estratégico, migraron su portal de fuga de datos a una nueva dirección .onion en la red TOR, mostrando 12 víctimas adicionales desde la intervención.

En una comunicación detallada, el administrador de LockBit reconoció la incautación de algunos de sus sitios web, atribuyendo la violación a una vulnerabilidad crítica de PHP conocida como CVE-2023-3824. Admitieron haber descuidado la actualización de PHP con prontitud, citando supervisión personal. Especulando sobre el método de infiltración, insinuaron la explotación de la vulnerabilidad conocida, expresando incertidumbre debido a la versión vulnerable preexistente en sus servidores.

Además, el grupo alegó que la Oficina Federal de Investigaciones (FBI) de EE. UU. se infiltró en su infraestructura en respuesta a un ataque de ransomware en el condado de Fulton en enero. Afirmaron que los documentos comprometidos contenían información confidencial, incluidos detalles sobre los casos legales de Donald Trump, que podrían afectar futuras elecciones estadounidenses. Al abogar por ataques más frecuentes a sectores gubernamentales, revelaron que la incautación por parte del FBI de más de 1.000 claves de descifrado reveló la existencia de casi 20.000 descifradores, enfatizando medidas de seguridad mejoradas para frustrar futuras interceptaciones.

En un intento por socavar la credibilidad de las fuerzas del orden, la publicación cuestionó la autenticidad de las personas identificadas, alegando una campaña de difamación contra su programa de afiliados. A pesar del revés, el grupo se comprometió a fortalecer sus mecanismos de cifrado y realizar la transición a procesos de descifrado manuales para evitar el acceso no autorizado por parte de las autoridades en esfuerzos futuros.

Mientras tanto, las autoridades rusas han detenido a tres personas , entre ellas Aleksandr Nenadkevichite Ermakov, asociadas con el grupo de ransomware SugarLocker. Operando bajo la apariencia de una empresa de TI legítima, los sospechosos participaron en diversas actividades ilícitas, incluido el desarrollo de malware personalizado y la orquestación de esquemas de phishing en Rusia y las naciones de la Comunidad de Estados Independientes (CEI). SugarLocker, que surgió inicialmente en 2021, evolucionó hacia un modelo de ransomware como servicio (RaaS), alquilando su software malicioso a socios para apuntar e implementar cargas útiles de ransomware.

El arresto de Ermakov es significativo y coincide con las sanciones financieras impuestas por Australia, el Reino Unido y Estados Unidos por su presunta participación en el ataque de ransomware de 2022 contra Medibank. El ataque comprometió datos confidenciales de millones de clientes, incluidos registros médicos, que posteriormente se comercializaron en la web oscura. Además, un ciberataque separado contra los sistemas de control tecnológico, que dejó sin electricidad a numerosos asentamientos en la región de Vologda, subraya la escalada de la batalla global contra las amenazas cibernéticas.