WebTech Rodos: Η ομάδα ransomware Lockbit φέρεται να έχει επιστρέψει στο διαδίκτυο με νέους διακομιστές.
Σε μια μακροσκελή επιστολή που αναρτήθηκε στο διαδίκτυο αυτό το Σαββατοκύριακο, η Lockbit ισχυρίζεται ότι η διεθνής ομάδα κυβερνητικών υπηρεσιών που διείσδυσε σε αυτήν απέκτησε κλειδιά αποκρυπτογράφησης μόνο για το 2.5% των επιθέσεων που πραγματοποίησε η ομάδα ransomware από την ίδρυσή της.
Την περασμένη εβδομάδα, το Υπουργείο Δικαιοσύνης των ΗΠΑ, το FBI, η Εθνική Υπηρεσία Καταπολέμησης Εγκλήματος (NCA) του Ηνωμένου Βασιλείου, η Europol και άλλοι ανακοίνωσαν την κοινή διείσδυση στους διακομιστές της Lockbit. Οι ΗΠΑ απήγγειλαν κατηγορίες σε δύο Ρώσους υπηκόους που φέρονται να συνδέονται με την ομάδα ransomware και οι ουκρανικές αρχές συνέλαβαν ένα δίδυμο πατέρα-γιου που πιστεύεται ότι είναι μέλη της Lockbit. Τότε, οι διαχειριστές της Lockbit δήλωσαν ότι ενώ οι διακομιστές τους που χρησιμοποιούν PHP διείσδυσαν, οι διακομιστές αντιγράφων ασφαλείας τους ήταν “ανέγγιχτοι”.
Η NCA του Ηνωμένου Βασιλείου έχει επανειλημμένα ισχυριστεί ότι η Lockbit είναι πλήρως εκτεθειμένη σε δηλώσεις προς στο PCMag. “Η NCA, συνεργαζόμενη με διεθνείς εταίρους, διείσδυσε με επιτυχία και πήρε τον έλεγχο των συστημάτων της Lockbit και μπόρεσε να θέσει σε κίνδυνο ολόκληρη την εγκληματική τους επιχείρηση”, δήλωσε εκπρόσωπος της υπηρεσίας στο PCMag μέσω ηλεκτρονικού ταχυδρομείου τη Δευτέρα. “Τα συστήματά τους έχουν πλέον καταστραφεί από την NCA και η εκτίμησή μας είναι ότι η Lockbit παραμένει πλήρως εκτεθειμένη”.
“Αναγνωρίσαμε ότι η Lockbit πιθανότατα θα προσπαθούσε να ανασυνταχθεί και να ξαναχτίσει τα συστήματά της”, συνέχισε η NCA. “Ωστόσο, έχουμε συγκεντρώσει τεράστιο όγκο πληροφοριών σχετικά με αυτούς και όσους σχετίζονται με αυτούς, και το έργο μας για τη στοχοποίηση και την αποδιοργάνωσή τους συνεχίζεται”.
Στην επιστολή ενός υποτιθέμενου διαχειριστή της Lockbit που μοιράστηκε από τον συλλέκτη δεδομένων κακόβουλου λογισμικού VXUnderground, ο διαχειριστής ισχυρίζεται ότι τα μέλη της Lockbit έγιναν “τεμπέληδες” αφού έκλεψαν αρκετά χρήματα που τους επέτρεπαν να ζήσουν έναν πολυτελή τρόπο ζωής.
Στη συνέχεια, ο διαχειριστής υπονοεί ότι οι νέοι διακομιστές της Lockbit τρέχουν μια νέα έκδοση της PHP, υποσχόμενος ότι όποιος αναφέρει οποιαδήποτε κρίσιμα τρωτά σημεία για τα νέα συστήματα της Lockbit “θα ανταμειφθεί”. Στη μακροσκελή επιστολή τους διατυπώνονται διάφοροι άλλοι ισχυρισμοί και αντιφατικές δηλώσεις, συμπεριλαμβανομένων ορισμένων που αφορούν τα υποτιθέμενα κίνητρα του FBI.
Ο διαχειριστής παραδέχεται, ωστόσο, ότι ακόμη και μια ενημέρωση της PHP “δεν θα είναι αρκετή” για να σταματήσει το FBI και άλλες υπηρεσίες από το να ανακτήσουν πρόσβαση σε νέους διακομιστές και υποστηρίζει ότι οι διακομιστές χωρίς PHP είναι απρόσβλητοι. Παρέχουν μια λίστα με εφεδρικά domains χωρίς PHP, στην οποία περιλαμβάνεται μεταξύ άλλων και η Boeing.
“Ακόμα και μετά το hack του FBI, τα κλεμμένα δεδομένα θα δημοσιευτούν στο blog”, γράφει ο διαχειριστής της Lockbit. “Δεν υπάρχει περίπτωση να καταστραφούν τα κλεμμένα δεδομένα χωρίς πληρωμή”.
Οι διεθνείς αρχές μοιράστηκαν προηγουμένως ότι απέκτησαν πάνω από 1.000 κλειδιά αποκρυπτογράφησης και σκοπεύουν να τα χρησιμοποιήσουν για να βοηθήσουν τα θύματα του Lockbit. Αλλά η Lockbit κατηγορεί τις κυβερνητικές αρχές ότι “μπλοφάρουν” σχετικά με το πόσα έχουν αποκτήσει και μοιράστηκε ότι υπάρχουν συνολικά περίπου 40.000 κλειδιά.
Το PCMag απευθύνθηκε στο Υπουργείο Δικαιοσύνης των ΗΠΑ και το FBI για σχόλια.
πηγή: pcmag.com