LockBit Ransomware regresa y Restaura sus Servidores luego de la Interrupción Policial

La banda LockBit está relanzando su operación de ransomware en una nueva infraestructura menos de una semana después de que las fuerzas del orden piratearan sus servidores y amenaza con centrar más ataques en el sector gubernamental.

En un mensaje debajo de una filtración simulada del FBI, específicamente para llamar la atención, la pandilla publicó un mensaje extenso sobre su negligencia al permitir la violación y los planes para la operación en el futuro.

LockBit Ransomware continúa los Ataques

El 19 de febrero, las autoridades derribaron la infraestructura de LockBit, que incluía 34 servidores que alojaban el sitio web de filtración de datos y sus espejos, datos robados de las víctimas, direcciones de criptomonedas, claves de descifrado y el panel de afiliados.

Cinco días después, LockBit regresa y brinda detalles sobre la infracción y cómo administrarán el negocio para hacer que su infraestructura sea más difícil de piratear.

Inmediatamente después del derribo, la pandilla confirmó la infracción diciendo que solo perdieron los servidores que ejecutaban PHP y que los sistemas de respaldo sin PHP estaban intactos.

El sábado, LockBit anunció que reanudaría el negocio de ransomware y publicó un comunicado de control de daños admitiendo que “negligencia personal e irresponsabilidad” llevaron a las fuerzas del orden a interrumpir su actividad en la Operación Cronos.

La pandilla mantuvo la marca y trasladó su sitio de filtración de datos a una nueva dirección .onion que enumera cinco víctimas con temporizadores de cuenta regresiva para publicar información robada.

Algunas de las organizaciones en la página de “datos filtrados” de LockBit parecen ser víctimas de ataques previamente conocidos.

Servidor PHP Obsoleto

LockBit dice que las fuerzas del orden, a las que se refieren colectivamente como el FBI, violaron dos servidores principales “porque durante 5 años nadando en dinero me volví muy vago”.

“Debido a mi negligencia e irresponsabilidad personal, me relajé y no actualicé PHP a tiempo”. El actor de amenazas dice que el servidor de paneles de chat y administración de la víctima y el servidor del blog ejecutaban PHP 8.1.2 y probablemente fueron pirateados utilizando una vulnerabilidad crítica rastreada como CVE-2023-3824.

LockBit dice que actualizaron el servidor PHP y anunciaron que recompensarían a cualquiera que encontrara una vulnerabilidad en la última versión.

Especulando sobre el motivo por el que “el FBI” hackeó su infraestructura, el ciberdelincuente dice que fue por el ataque de ransomware al condado de Fulton en enero, que planteaba el riesgo de filtrar información con “muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses”.

Esto llevó a LockBit a creer que al atacar “al sector .gov con más frecuencia” obligarán al “FBI” a demostrar si tiene la capacidad de atacar a la pandilla.

El actor de amenazas dice que las fuerzas del orden “obtuvieron una base de datos, fuentes de paneles web, resguardos de casilleros que no son fuentes como afirman y una pequeña porción de descifradores desprotegidos”.

Paneles de Afiliados Descentralizados

Durante la Operación Cronos, las autoridades recolectaron más de 1.000 claves de descifrado. LockBit afirma que la policía obtuvo las claves de “descifradores desprotegidos” y que en el servidor había casi 20.000 descifradores, aproximadamente la mitad de los aproximadamente 40.000 generados durante toda la vida de la operación.

El actor de amenazas define los “descifradores desprotegidos” como compilaciones de malware de cifrado de archivos que no tenían habilitada la función de “protección máxima de descifrado”, utilizada normalmente por afiliados de bajo nivel que cobran rescates más pequeños de sólo 2.000 dólares.

LockBit planea actualizar la seguridad de su infraestructura y pasar a liberar manualmente descifradores y descifrados de archivos de prueba, así como alojar el panel de afiliados en múltiples servidores y brindar a sus socios acceso a diferentes copias según el nivel de confianza.

El largo mensaje de LockBit parece un control de daños y un intento de restaurar la credibilidad de una reputación manchada.

La pandilla recibió un duro golpe e incluso si logró restaurar los servidores, los afiliados tienen buenas razones para desconfiar.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!

Sony sigue sin Confirmar si han sido Hackeados

Sony ha iniciado una investigación en respuesta a las afirmaciones de un grupo de ransomware, Ransomed.vc, que alega haber comprometido los sistemas de la compañía japonesa. El grupo amenaza con vender datos supuestamente robados de Sony y ha declarado que no los rescatará debido a que Sony se niega a pagar un rescate. Aunque estas afirmaciones aún no se han verificado, Ransomed.vc ha acumulado varias víctimas ¡SEGUIR LEYENDO!