LockBit ripristina i server dopo il blocco della polizia USA

Il gruppo LockBit sta rilanciando la sua operazione di ransomware su una nuova infrastruttura. Ciò avviene soltanto pochi giorni dopo l’hackeraggio dei loro server da parte della polizia. Il gruppo hacker ha inoltre minacciato di concentrare maggiormente i propri attacchi sul settore governativo. Il gruppo ha mantenuto il nome “LockBit” e ha spostato il sito di data leak su un nuovo indirizzo .onion. Tale sito mostra cinque schede, dedicate alle prossime vittime. Ognuna di esse presenta inoltre un conto alla rovescia che indica quando avverrà la pubblicazione delle informazioni rubate.

LockBit: i dettagli dell’attacco da parte delle forze dell’ordine

Il 19 febbraio, le autorità hanno bloccato l'infrastruttura di LockBit, che comprendeva 34 server. Questi ospitavano il sito di data leak e i suoi mirror, i dati rubati, indirizzi di criptovaluta, chiavi di decrittazione e il pannello di affiliazione. Dopo la rimozione, il gruppo ha confermato la violazione affermando di aver perso solo i server che eseguivano PHP. I sistemi di backup senza PHP sono invece rimasti intatti. Cinque giorni dopo, LockBit ha poi fornito i dettagli sulla violazione e su come gestiranno l’attività per rendere la loro infrastruttura più difficile da hackerare. LockBit afferma che le forze dell'ordine, a cui si riferiscono collettivamente come FBI, hanno violato due server principali. L'autore della minaccia ha dichiarato che ciò è avvenuta per “propria negligenza”. Probabilmente l’hackeraggio è avvenuto tramite vulnerabilità critica CVE-2023-3824. LockBit afferma di aver aggiornato il server PHP e che ricompenserà chiunque trovi una vulnerabilità nell'ultima versione.

Durante l'operazione Cronos, le autorità hanno raccolto più di 1.000 chiavi di decrittazione. LockBit sostiene che la polizia ha ottenuto le chiavi da “decryptor non protetti” e che sul server c'erano quasi 20.000 decryptor. Si tratta della metà dei circa 40.000 generati durante l'intera durata dell'operazione. Il gruppo definisce "decryptor non protetti" le build del malware per la crittografia dei file che non avevano la funzione "massima protezione dalla decrittazione" abilitata. LockBit prevede di aggiornare la sicurezza della propria infrastruttura e passare al rilascio manuale dei decrittatori e alla decrittazione dei file di prova. Inoltre, prevede di ospitare il pannello di affiliazione su più server e fornire ai propri partner l'accesso a diverse copie in base al livello di fiducia. Dopo il duro colpo subito, il messaggio di LockBit sembra un tentativo di limitare i danni e di ripristinare la sua credibilità. Quali saranno le prossime mosse?