LockBit-Ransomware-Hacker tauchen nach der Abschaltung durch die Strafverfolgungsbehörden wieder auf

Nach einem kürzlichen Vorgehen der Strafverfolgungsbehörden, das ihren Betrieb vorübergehend lahmlegte , ist die Ransomware-Gruppe LockBit mit neuer Kraft im Dark Web wieder aufgetaucht. In einem strategischen Schritt haben sie ihr Datenleck-Portal auf eine neue .onion-Adresse im TOR-Netzwerk migriert und so zwölf weitere Opfer seit dem Eingriff angezeigt.

In einer ausführlichen Mitteilung bestätigte der Administrator von LockBit die Beschlagnahmung einiger seiner Websites und führte den Verstoß auf eine kritische PHP-Schwachstelle namens CVE-2023-3824 zurück. Sie gaben zu, es versäumt zu haben, PHP umgehend zu aktualisieren, und verwiesen auf ein persönliches Versehen. Sie spekulierten über die Methode der Infiltration und deuteten die Ausnutzung der bekannten Schwachstelle an. Sie äußerten ihre Unsicherheit aufgrund der bereits vorhandenen anfälligen Version auf ihren Servern.

Darüber hinaus behauptete die Gruppe, dass das US-amerikanische Federal Bureau of Investigation (FBI) als Reaktion auf einen Ransomware-Angriff auf Fulton County im Januar ihre Infrastruktur infiltriert habe. Sie behaupteten, dass die kompromittierten Dokumente vertrauliche Informationen enthielten, darunter Einzelheiten zu den Rechtsfällen von Donald Trump, die möglicherweise Auswirkungen auf künftige US-Wahlen hätten. Sie plädierten für häufigere Angriffe auf Regierungsbereiche und gaben bekannt, dass die Beschlagnahmung von über 1.000 Entschlüsselungsschlüsseln durch das FBI die Existenz von fast 20.000 Entschlüsselern aufgedeckt habe, und betonten verstärkte Sicherheitsmaßnahmen, um künftige Abhörversuche zu verhindern.

In einem Versuch, die Glaubwürdigkeit der Strafverfolgungsbehörden zu untergraben, stellte der Beitrag die Authentizität der identifizierten Personen in Frage und behauptete, es handele sich um eine Verleumdungskampagne gegen ihr Partnerprogramm. Trotz des Rückschlags versprach die Gruppe, ihre Verschlüsselungsmechanismen zu stärken und auf manuelle Entschlüsselungsprozesse umzusteigen, um bei künftigen Unternehmungen unbefugten Zugriff durch Behörden zu verhindern.

Unterdessen haben die russischen Behörden drei Personen festgenommen , darunter Aleksandr Nenadkevichite Ermakov, die mit der Ransomware-Gruppe SugarLocker in Verbindung stehen. Unter dem Deckmantel eines seriösen IT-Unternehmens waren die Verdächtigen an verschiedenen illegalen Aktivitäten beteiligt, darunter der Entwicklung maßgeschneiderter Malware und der Inszenierung von Phishing-Angriffen in ganz Russland und den Ländern der Gemeinschaft Unabhängiger Staaten (GUS). SugarLocker, das ursprünglich im Jahr 2021 auf den Markt kam, entwickelte sich zu einem Ransomware-as-a-Service (RaaS)-Modell und vermietete seine Schadsoftware an Partner, um Ransomware-Payloads gezielt anzugreifen und bereitzustellen.

Ermakovs Verhaftung ist bedeutsam, da sie mit den Finanzsanktionen zusammenfällt, die Australien, das Vereinigte Königreich und die USA wegen seiner angeblichen Beteiligung an dem Ransomware-Angriff auf die Medibank im Jahr 2022 verhängt haben. Der Angriff kompromittierte sensible Daten von Millionen von Kunden, darunter auch Krankenakten, die anschließend im Darknet gehandelt wurden. Darüber hinaus unterstreicht ein separater Cyberangriff auf technische Kontrollsysteme, der zahlreiche Siedlungen in der Region Wologda ohne Strom ließ, den eskalierenden globalen Kampf gegen Cyberbedrohungen.