Η ransomware συμμορία LockBit επιστρέφει με νέες επιθέσεις, χρησιμοποιώντας μια καινούρια υποδομή, λίγες μόλις ημέρες μετά την αστυνομική επιχείρηση Cronos, όπου οι αρχές επιβολής του νόμου από διάφορες χώρες χάκαραν τους διακομιστές των hackers και διέκοψαν τη λειτουργία πολλών ιστοτόπων τους.
Η συμμορία δημοσίευσε ένα μακροσκελές μήνυμα σχετικά με την αμέλειά της που επέτρεψε την παραβίαση της υποδομής και έδωσε μια εικόνα για τα μελλοντικά της σχέδια.
Το LockBit ransomware επιστρέφει ακόμα πιο επικίνδυνο
Το Σάββατο, η ομάδα LockBit ανακοίνωσε ότι ξαναρχίζει την επιχείρηση ransomware αφού πρώτα παραδέχτηκε ότι υπήρξε “προσωπική αμέλεια και ανευθυνότητα” που οδήγησε τις αρχές επιβολής του νόμου σε προσωρινή διακοπή των δραστηριοτήτων της.
Η συμμορία μετέφερε τον ιστότοπο διαρροής δεδομένων της σε μια νέα διεύθυνση .onion. Το site περιέχει ήδη τα ονόματα πέντε εταιρειών-θυμάτων και απειλεί να διαρρεύσει κλεμμένα δεδομένα.
Δείτε επίσης: Πώς συνδέονται τα κρυπτονομίσματα με μία επίθεση ransomware;
Στις 19 Φεβρουαρίου, οι αρχές κατέστρεψαν την υποδομή του LockBit, η οποία περιελάμβανε 34 διακομιστές που φιλοξενούσαν τον ιστότοπο διαρροής δεδομένων και άλλα sites στο dark web, κλεμμένα δεδομένα, crypto wallets, κλειδιά αποκρυπτογράφησης και το affiliate panel. Με τα στοιχεία που είχαν στα χέρια τους, οι αρχές δημιούργησαν και ένα εργαλείο αποκρυπτογράφησης, που μπορούσαν να το χρησιμοποιήσουν δωρεάν τα θύματα για να ανακτήσουν τα δεδομένα τους.
Η ransomware συμμορία LockBit επιβεβαίωσε την παραβίαση. Ωστόσο, εξήγησε ότι επηρεάστηκαν μόνο οι διακομιστές που εκτελούσαν PHP. Αντιθέτως, τα συστήματα δημιουργίας αντιγράφων ασφαλείας χωρίς PHP ήταν ανέγγιχτα.
Δυστυχώς, μόλις πέντε ημέρες μετά την επιτυχημένη επιχείρηση των αρχών, το LockBit ransomware επιστρέφει και τονίζει ότι λαμβάνει μέτρα ώστε να μην είναι ξανά εύκολη η παραβίαση της υποδομής του.
Η ομάδα ανέφερε ότι οι αρχές χρησιμοποίησαν πιθανότατα μια ευπάθεια που παρακολουθείται ως CVE-2023-3824 και μπόρεσαν να πραγματοποιήσουν την παραβίαση, αφού οι hackers είχαν αμελήσει να ενημερώσουν τον PHP server τους.
Η LockBit λέει ότι ενημέρωσε τον διακομιστή PHP και ανακοίνωσε ότι θα ανταμείψει όποιον βρει ευπάθεια στην πιο πρόσφατη έκδοση.
Η ransomware συμμορία LockBit πιστεύει ότι οι αρχές και το FBI αποφάσισαν να χακάρουν την υποδομή της, λόγω μιας πρόσφατης επίθεσης στην κομητεία Fulton, η οποία θα μπορούσε να οδηγήσει σε διαρροή σημαντικών πληροφοριών και στοιχείων για τις δικαστικές υποθέσεις του Ντόναλντ Τραμπ. Αυτή η διαρροή θα μπορούσε επηρεάσει τις επερχόμενες εκλογές στις ΗΠΑ.
Γι’ αυτό το λόγο, η ransomware συμμορία LockBit επιστρέφει τώρα και σκέφτεται να επικεντρώσει τις επιθέσεις της στον κυβερνητικό τομέα.
Δείτε επίσης: Ransomware: Νέες επιθέσεις μετά την πληρωμή λύτρων
Οι hackers λένε ότι οι αρχές επιβολής του νόμου “απέκτησαν μια βάση δεδομένων, web panel sources, locker stubs και ένα μικρό μέρος απροστάτευτων αποκρυπτογραφητών“.
Η LockBit σχεδιάζει να αναβαθμίσει την ασφάλεια για την υποδομή της και να μεταβεί σε μη αυτόματη απελευθέρωση αποκρυπτογραφήσεων και trial file decryptions. Επίσης, οι hackers σκέφτονται να φιλοξενήσουν το affiliate panel σε πολλούς διακομιστές και να παρέχουν στους συνεργάτες τους πρόσβαση σε διαφορετικά αντίγραφα με βάση το επίπεδο εμπιστοσύνης.
Το LockBit ransomware επιστρέφει: Κυβερνητικές υπηρεσίες βρίσκονται σε κίνδυνο
Οι κυβερνητικοί οργανισμοί μπορούν να ενισχύσουν την κυβερνοασφάλειά τους μέσω της εκπαίδευσης του προσωπικού τους. Η ευαισθητοποίηση για τους κινδύνους και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, μπορεί να μειώσει σημαντικά τον κίνδυνο για επιθέσεις.
Επιπλέον, η χρήση προηγμένων εργαλείων ασφαλείας, όπως τα συστήματα ανίχνευσης και πρόληψης εισβολών, τα συστήματα προστασίας από κακόβουλο λογισμικό (malware) και η διαχείριση ταυτοτήτων και πρόσβασης, μπορεί να αποτρέψει τις επιθέσεις πριν αυτές προκαλέσουν ζημιά.
Δείτε επίσης: SugarLocker ransomware: Συνελήφθησαν τρία υποτιθέμενα μέλη
Η δημιουργία και η εφαρμογή στρατηγικής ανάκτησης από περιστατικά ransomware είναι επίσης κρίσιμη. Αυτό περιλαμβάνει την τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων, την ετοιμότητα για αποκατάσταση συστημάτων και την ανάπτυξη σχεδίων αποκατάστασης μετά από καταστροφή.
Τέλος, η συνεργασία με εξωτερικούς ειδικούς και οργανισμούς κυβερνοασφάλειας μπορεί να προσφέρει πρόσθετη προστασία. Αυτό μπορεί να περιλαμβάνει την ανταλλαγή πληροφοριών για απειλές, την επικοινωνία με τις αρχές επιβολής του νόμου και την επιστράτευση εξωτερικών ειδικών για την αντιμετώπιση περιστατικών.
Πηγή: www.bleepingcomputer.com
