LockBit Ransomware-Gruppe taucht nach Takedown der Strafverfolgungsbehörden wieder auf
Die Angreifer hinter der LockBit-Ransomware sind erneut im Dark Web aufgetaucht, nachdem Strafverfolgungsbehörden ihre Server übernommen haben. Sie verwenden nun eine neue Infrastruktur und haben ihr Datenleck-Portal auf eine neue .onion-Adresse verschoben. Aktuell sind dort 12 neue Opfer aufgelistet.
Einer der Administratoren von LockBit schrieb in einer ausführlichen Nachricht, dass einige seiner Websites wahrscheinlich deshalb beschlagnahmt werden konnten, weil er aufgrund persönlicher Fahrlässigkeit versäumt hatte, eine kritische PHP-Schwachstelle (CVE-2023-3824) zu patchen. Er mutmaßte auch, dass ein Zero-Day-Angriff auf PHP der Grund gewesen sein könnte, weil die auf seinen Servern installierte Version bereits eine bekannte Schwachstelle aufwies. Andere Autoren der Nachricht schoben die „Schuld“ auf das FBI: Sie behaupteten, dass die Behörde ihre Infrastruktur nach einem Ransomware-Angriff auf Fulton County im Januar „gehackt“ habe – aus Angst, dass gestohlene Dokumente zu Donald Trumps Gerichtsverfahren und anderen brisanten Themen die bevorstehenden US-Wahlen beeinflussen könnten.
Sie forderten nicht nur zu häufigeren Angriffen auf den „.gov-Sektor“ auf, sondern enthüllten auch, dass der Server, von dem die Behörden über 1.000 Entschlüsselungsschlüssel erhalten haben, eigentlich fast 20.000 solcher Schlüssel enthielt – etwa die Hälfte aller seit 2019 generierten Entschlüsselungsschlüssel. Deren Schutz hätte wohl die Fähigkeiten des FBI überfordert.
Die Gruppe fügte hinzu, dass die Namen der 194 gefundenen Mitglieder nichts mit ihren echten Nicknames in Foren oder Messengern zu tun hatten. Darüber hinaus versuchten sie die Strafverfolgungsbehörden zu diskreditieren, indem sie behaupteten, dass der echte „Bassterlord“ nicht identifiziert wurde und dass die Aktionen des FBI darauf abzielten, den Ruf ihres Partnerprogramms zu zerstören.
Sie erklärten weiter, dass es vier Tage gedauert habe, um den Server wiederherzustellen, da der Quellcode der neuesten Version von PHP bearbeitet werden musste, um eine Inkompatibilität zu beheben.
Um zukünftige Angriffe für die Behörden zu erschweren, planen die LockBit-Akteure, den Schutz für alle Build-Locker zu maximieren und keine automatische Probeentschlüsselung mehr zuzulassen. Alle Entschlüsselungen und die Ausgabe von Entschlüsselungsschlüsseln sollen nur im manuellen Modus erfolgen, um zu verhindern, dass das FBI kostenlose Entschlüsseler erhält.
Russland verhaftet drei SugarLocker-Mitglieder
Russische Strafverfolgungsbehörden haben drei Personen, einschließlich Aleksandr Nenadkevichite Ermakov (bekannt als blade_runner, GustaveDore oder JimJones), im Zusammenhang mit der SugarLocker-Ransomware-Gruppe verhaftet.
Laut der russischen Cybersicherheitsfirma F.A.C.C.T. arbeiteten die Angreifer unter dem Deckmantel der seriösen IT-Firma Shtazi-IT, die Dienstleistungen für die Entwicklung von Landing Pages, mobilen Anwendungen, Skripten, Parsern und Online-Shops anbietet. Das Unternehmen war sogar auf der Suche nach neuen Mitarbeitern.
Die Betreiber werden beschuldigt, maßgeschneiderte Malware zu entwickeln, Phishing-Seiten für Online-Shops zu erstellen und den Nutzerverkehr auf betrügerische Angebote zu lenken, die in Russland und den Ländern der Gemeinschaft Unabhängiger Staaten (GUS) beliebt sind.
SugarLocker wurde erstmals Anfang 2021 entdeckt und später als Ransomware-as-a-Service (RaaS) angeboten, bei dem Partner die Malware mieten können, um sie auf ihre Ziele loszulassen.
Fast drei Viertel der Lösegeldzahlungen gehen an die Partner, sogar bis zu 90 Prozent, wenn die Zahlung 5 Millionen US-Dollar überschreitet. Die Verbindung der Cyberkriminellen zu Shtazi-IT wurde letzten Monat von Intel 471 aufgedeckt.
Die Verhaftung von Ermakov ist wichtig, weil Australien, Großbritannien und die USA Sanktionen gegen ihn verhängt haben. Er wird verdächtigt, am Ransomware-Angriff auf den Krankenversicherungsanbieter Medibank im Jahr 2022 beteiligt zu sein. Der Angriff, der von der inzwischen aufgelösten Ransomware-Gruppe REvil durchgeführt wurde, führte zum Zugriff auf sensible Daten von etwa 9,7 Millionen Kunden, darunter medizinische und persönliche Informationen, die später im Dark Web auftauchten.
Ein 49-jähriger russischer Staatsbürger muss sich nach einem Bericht der Nachrichtenagentur TASS vor Gericht verantworten, weil er einen Cyberangriff auf technische Kontrollsysteme verübt hat, der zu einem Stromausfall in 38 Ortschaften in der Region Vologda führte.