Os atores por trás da operação de ransomware LockBit reapareceram na dark web usando nova infraestrutura, dias após uma operação da polícia internacional ter assumido o controle de seus servidores.
Com isso, o infame grupo transferiu seu portal de vazamento de dados para um novo endereço .onion na rede TOR, listando 12 novas vítimas até agora.
O administrador por trás do LockBit, em uma longa mensagem de acompanhamento, disse que alguns de seus sites foram confiscados provavelmente explorando uma falha crítica do PHP rastreada como CVE-2023-3824, reconhecendo que eles não atualizaram o PHP devido a "negligência e irresponsabilidade pessoal".
"Eu reconheço que pode não ter sido esse o CVE, mas algo mais como 0-day para PHP, mas não posso ter 100% de certeza, uma vez que a versão instalada em meus servidores já era conhecida por ter uma vulnerabilidade conhecida, então é muito provável que tenha sido assim que os servidores do admin e painel de chat das vítimas e do servidor do blog foram acessados," eles observaram.
Eles também afirmaram que a Agência Federal de Investigação (FBI, na sigla em inglês) dos EUA "hackeou" sua infraestrutura por causa de um ataque de ransomware no Condado de Fulton, em janeiro, e os "documentos roubados contêm muita coisa interessante e casos judiciais de Donald Trump que poderiam afetar a próxima eleição americana".
Além de pedir para atacar o "setor .gov" mais frequentemente, eles afirmaram que o servidor de onde as autoridades obtiveram mais de 1.000 chaves de decodificação guardava quase 20.000 decodificadores, a maioria dos quais estavam protegidos e representavam cerca de metade do número total de decodificadores gerados desde 2019.
Além disso, eles foram em frente para adicionar que os apelidos dos afiliados não têm "nada a ver com os verdadeiros apelidos nos fóruns e nem apelidos em mensageiros." Isso não é tudo.
A postagem também tentou desacreditar as agências de aplicação da lei, alegando que o verdadeiro "Bassterlord" não foi identificado, e que as ações da FBI são "destinadas a destruir a reputação do meu programa de afiliados".
"Por que demorou 4 dias para se recuperar? Porque eu tive que editar o código fonte da versão mais recente do PHP, pois havia incompatibilidade", eles disseram.
"Vou parar de ser preguiçoso e garantir que absolutamente todas as versões do blocker terão proteção máxima, agora não haverá decodificação automática, todas as decodificações de teste e a emissão de decodificadores serão feitas somente em modo manual.
Dessa forma, em possíveis futuros ataques, a FBI não será capaz de obter um único decodificador gratuitamente."
A LockBit já afetou mais de 2,5k vítimas em todo o mundo, lucrou $120M.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...