La banda LockBit está relanzando su operación de ransomware en una nueva infraestructura menos de una semana después de que las fuerzas del orden piratearan sus servidores y amenaza con centrar más ataques en el sector gubernamental.
En un mensaje debajo de una filtración simulada del FBI, específicamente para llamar la atención, la pandilla publicó un mensaje extenso sobre su negligencia al permitir la violación y los planes para la operación en el futuro.
LockBit Ransomware continúa los Ataques
El 19 de febrero, las autoridades derribaron la infraestructura de LockBit, que incluía 34 servidores que alojaban el sitio web de filtración de datos y sus espejos, datos robados de las víctimas, direcciones de criptomonedas, claves de descifrado y el panel de afiliados.
Cinco días después, LockBit regresa y brinda detalles sobre la infracción y cómo administrarán el negocio para hacer que su infraestructura sea más difícil de piratear.
Inmediatamente después del derribo, la pandilla confirmó la infracción diciendo que solo perdieron los servidores que ejecutaban PHP y que los sistemas de respaldo sin PHP estaban intactos.
El sábado, LockBit anunció que reanudaría el negocio de ransomware y publicó un comunicado de control de daños admitiendo que “negligencia personal e irresponsabilidad” llevaron a las fuerzas del orden a interrumpir su actividad en la Operación Cronos.
La pandilla mantuvo la marca y trasladó su sitio de filtración de datos a una nueva dirección .onion que enumera cinco víctimas con temporizadores de cuenta regresiva para publicar información robada.
Algunas de las organizaciones en la página de “datos filtrados” de LockBit parecen ser víctimas de ataques previamente conocidos.
Servidor PHP Obsoleto
LockBit dice que las fuerzas del orden, a las que se refieren colectivamente como el FBI, violaron dos servidores principales “porque durante 5 años nadando en dinero me volví muy vago”.
“Debido a mi negligencia e irresponsabilidad personal, me relajé y no actualicé PHP a tiempo”. El actor de amenazas dice que el servidor de paneles de chat y administración de la víctima y el servidor del blog ejecutaban PHP 8.1.2 y probablemente fueron pirateados utilizando una vulnerabilidad crítica rastreada como CVE-2023-3824.
LockBit dice que actualizaron el servidor PHP y anunciaron que recompensarían a cualquiera que encontrara una vulnerabilidad en la última versión.
Especulando sobre el motivo por el que “el FBI” hackeó su infraestructura, el ciberdelincuente dice que fue por el ataque de ransomware al condado de Fulton en enero, que planteaba el riesgo de filtrar información con “muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses”.
Esto llevó a LockBit a creer que al atacar “al sector .gov con más frecuencia” obligarán al “FBI” a demostrar si tiene la capacidad de atacar a la pandilla.
El actor de amenazas dice que las fuerzas del orden “obtuvieron una base de datos, fuentes de paneles web, resguardos de casilleros que no son fuentes como afirman y una pequeña porción de descifradores desprotegidos”.
Paneles de Afiliados Descentralizados
Durante la Operación Cronos, las autoridades recolectaron más de 1.000 claves de descifrado. LockBit afirma que la policía obtuvo las claves de “descifradores desprotegidos” y que en el servidor había casi 20.000 descifradores, aproximadamente la mitad de los aproximadamente 40.000 generados durante toda la vida de la operación.
El actor de amenazas define los “descifradores desprotegidos” como compilaciones de malware de cifrado de archivos que no tenían habilitada la función de “protección máxima de descifrado”, utilizada normalmente por afiliados de bajo nivel que cobran rescates más pequeños de sólo 2.000 dólares.
LockBit planea actualizar la seguridad de su infraestructura y pasar a liberar manualmente descifradores y descifrados de archivos de prueba, así como alojar el panel de afiliados en múltiples servidores y brindar a sus socios acceso a diferentes copias según el nivel de confianza.
El largo mensaje de LockBit parece un control de daños y un intento de restaurar la credibilidad de una reputación manchada.
La pandilla recibió un duro golpe e incluso si logró restaurar los servidores, los afiliados tienen buenas razones para desconfiar.