Les pirates de LockBit Ransomware réapparaissent après le retrait des forces de l'ordre

Suite à une récente répression menée par les forces de l'ordre qui ont temporairement perturbé leurs opérations , le groupe de ransomware LockBit a refait surface sur le dark web avec une vigueur renouvelée. Dans un geste stratégique, ils ont migré leur portail de fuite de données vers une nouvelle adresse .onion sur le réseau TOR, présentant 12 victimes supplémentaires depuis l'intervention.

Dans une communication détaillée, l'administrateur de LockBit a reconnu la saisie de certains de ses sites Web, attribuant la violation à une vulnérabilité PHP critique connue sous le nom de CVE-2023-3824. Ils ont admis avoir négligé de mettre à jour PHP rapidement, invoquant une erreur personnelle. Spéculant sur la méthode d'infiltration, ils ont fait allusion à l'exploitation de la vulnérabilité connue, exprimant leur incertitude en raison de la version vulnérable préexistante sur leurs serveurs.

En outre, le groupe a affirmé que le Federal Bureau of Investigation (FBI) des États-Unis avait infiltré son infrastructure en réponse à une attaque de ransomware contre le comté de Fulton en janvier. Ils ont affirmé que les documents compromis contenaient des informations sensibles, notamment des détails sur les affaires judiciaires de Donald Trump, susceptibles d'avoir un impact sur les futures élections américaines. Plaidant pour des attaques plus fréquentes contre les secteurs gouvernementaux, ils ont révélé que la saisie par le FBI de plus de 1 000 clés de décryptage avait révélé l'existence de près de 20 000 décrypteurs, mettant l'accent sur des mesures de sécurité renforcées pour contrecarrer de futures interceptions.

Dans une tentative de saper la crédibilité des forces de l'ordre, le message a contesté l'authenticité des individus identifiés, alléguant une campagne de diffamation contre leur programme d'affiliation. Malgré ce revers, le groupe s'est engagé à renforcer ses mécanismes de cryptage et à passer à des processus de décryptage manuels pour empêcher tout accès non autorisé par les autorités lors de ses projets futurs.

Entre-temps, les autorités russes ont appréhendé trois individus , dont Aleksandr Nenadkevichite Ermakov, associé au groupe de ransomware SugarLocker. Opérant sous le couvert d'une entreprise informatique légitime, les suspects se sont livrés à diverses activités illicites, notamment en développant des logiciels malveillants personnalisés et en orchestrant des programmes de phishing en Russie et dans les pays de la Communauté des États indépendants (CEI). SugarLocker, initialement apparu en 2021, a évolué vers un modèle de ransomware-as-a-service (RaaS), louant ses logiciels malveillants à des partenaires pour cibler et déployer des charges utiles de ransomware.

L'arrestation d'Ermakov est importante, car elle coïncide avec les sanctions financières imposées par l'Australie, le Royaume-Uni et les États-Unis pour son implication présumée dans l'attaque de ransomware contre Medibank en 2022. L’attaque a compromis les données sensibles de millions de clients, y compris les dossiers médicaux, ensuite échangées sur le dark web. En outre, une cyberattaque distincte contre les systèmes de contrôle technologique, laissant de nombreuses colonies de la région de Vologda sans électricité, souligne l'escalade de la bataille mondiale contre les cybermenaces.