Le gang LockBit relance son opération de ransomware sur une nouvelle infrastructure moins d’une semaine après que les forces de l’ordre ont piraté leurs serveurs, et menace de concentrer davantage ses attaques sur le secteur gouvernemental.

Dans un message sous une maquette de fuite du FBI-spécifiquement pour attirer l’attention, le gang a publié un long message sur leur négligence permettant la violation et les plans pour l’opération à venir.

Le ransomware Lock Bit poursuit ses attaques
Samedi, LockBit a annoncé la reprise de son activité de ransomware et a publié une communication sur le contrôle des dommages, admettant que “la négligence personnelle et l’irresponsabilité  » avaient conduit les forces de l’ordre à perturber son activité dans l’opération Cronos.

Le gang a conservé le nom de la marque et a déplacé son site de fuite de données vers un nouveau .adresse oignon qui répertorie cinq victimes avec des comptes à rebours pour la publication d’informations volées.

Le site de fuite de données de bits de verrouillage relancé montre cinq victimes

Le 19 février, les autorités ont démantelé l’infrastructure de LockBit, qui comprenait 34 serveurs hébergeant le site Web de fuite de données et ses miroirs, les données volées aux victimes, les adresses de crypto-monnaie, les clés de déchiffrement et le panneau d’affiliation.

Immédiatement après le retrait, le gang a confirmé la violation en disant qu’ils n’avaient perdu que les serveurs exécutant PHP et que les systèmes de sauvegarde sans PHP étaient intacts.

Cinq jours plus tard, LockBit est de retour et fournit des détails sur la violation et sur la façon dont ils vont gérer l’entreprise pour rendre leur infrastructure plus difficile à pirater.

Serveur PHP obsolète
LockBit dit que les forces de l’ordre, qu’ils appellent collectivement le FBI, ont violé deux serveurs principaux “parce que pendant 5 ans à nager dans l’argent, je suis devenu très paresseux.”

« En raison de ma négligence personnelle et de mon irresponsabilité, je me suis détendu et je n’ai pas mis à jour PHP à temps.” L’auteur de la menace affirme que le serveur d’administration et de discussion de la victime et le serveur de blog exécutaient PHP 8.1.2 et ont probablement été piratés à l’aide d’une vulnérabilité critique identifiée comme CVE-2023-3824.

LockBit dit qu’ils ont mis à jour le serveur PHP et annoncé qu’ils récompenseraient toute personne qui trouverait une vulnérabilité dans la dernière version.

Spéculant sur la raison pour laquelle” le FBI  » a piraté son infrastructure, le cybercriminel affirme que c’était à cause de l’attaque de ransomware sur le comté de Fulton en janvier, qui présentait le risque de divulguer des informations avec “beaucoup de choses intéressantes et les affaires judiciaires de Donald Trump qui pourraient affecter la prochaine élection américaine.”

Cela a conduit LockBit à croire qu’en attaquant “le secteur .gov plus souvent”, ils forceront “le FBI” à montrer s’il a la capacité d’attaquer le gang.

L’auteur de la menace affirme que les forces de l’ordre “ont obtenu une base de données, des sources de panneaux Web, des talons de casier qui ne sont pas la source comme ils le prétendent et une petite partie des déchiffreurs non protégés.”

Panneaux d’affiliation décentralisés
Au cours de l’opération Cronos, les autorités ont collecté plus de 1 000 clés de déchiffrement. LockBit affirme que la police a obtenu les clés de « déchiffreurs non protégés » et que sur le serveur il y avait près de 20 000 déchiffreurs, environ la moitié des quelque 40 000 générés pendant toute la durée de l’opération.

L’auteur de la menace définit les « déchiffreurs non protégés » comme des versions du logiciel malveillant de cryptage de fichiers qui n’avaient pas activé la fonction de “protection maximale contre le déchiffrement”, généralement utilisée par les affiliés de bas niveau qui prennent des rançons plus petites de seulement 2 000$.

LockBit prévoit de mettre à niveau la sécurité de son infrastructure et de passer à la publication manuelle de décrypteurs et de décryptages de fichiers d’essai, ainsi que d’héberger le panneau d’affiliation sur plusieurs serveurs et de fournir à ses partenaires un accès à différentes copies en fonction du niveau de confiance.

“En raison de la séparation du panel et d’une plus grande décentralisation, de l’absence de décryptages d’essai en mode automatique, d’une protection maximale des décrypteurs pour chaque entreprise, les risques de piratage seront considérablement réduits  » – LockBit

Le long message de LockBit ressemble à un contrôle des dégâts et à une tentative de restaurer la crédibilité d’une réputation entachée.

Le gang a pris un coup dur et même s’il a réussi à restaurer les serveurs, les affiliés ont de bonnes raisons de se méfier.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *