El grupo de ransomware LockBit está nuevamente realizando ataques, utilizando cifrados actualizados con notas de rescate que se vinculan a nuevos servidores después de la interrupción de las fuerzas del orden de la semana pasada.
La semana pasada, la NCA, el FBI y Europol llevaron a cabo una interrupción coordinada llamada ' Operación Cronos ' contra la operación de ransomware LockBit.
Como parte de esta operación, las fuerzas del orden se apoderaron de la infraestructura, recuperaron descifradores y, en un momento embarazoso para LockBit, convirtieron el sitio de filtración de datos de la banda de ransomware en un portal de prensa policial.
Poco después, LockBit creó un nuevo sitio de filtración de datos y dejó una larga nota dirigida al FBI, alegando que las fuerzas del orden violaron sus servidores utilizando un error de PHP.
Sin embargo, en lugar de cambiar de marca, prometieron regresar con una infraestructura actualizada y nuevos mecanismos de seguridad para evitar que las fuerzas del orden realicen ataques en toda la operación y obtengan acceso a descifradores.
Encriptadores LockBit actualizados utilizados en ataques
A partir de ayer, LockBit parece estar realizando ataques nuevamente, con nuevos cifrados y configuración de infraestructura para sitios de negociación y fuga de datos.
Como informó por primera vez Zscaler , la pandilla de ransomware actualizó las notas de rescate de su cifrador con URL de Tor para la nueva infraestructura de la pandilla. BleepingComputer luego encontró muestras de los cifradores cargados en VirusTotal ayer [ Muestra ] (compartido por MalwareHunterTeam) y hoy [ Muestra ], que contienen las notas de rescate actualizadas.
BleepingComputer también confirmó que los servidores de negociación de la operación están nuevamente activos pero solo funcionan para las víctimas de nuevos ataques.
Fuente: BleepingComputer
En el momento de la eliminación de LockBit, la operación de ransomware contaba con aproximadamente 180 afiliados trabajando con ellos para realizar ataques.
No se sabe cuántos siguen trabajando con el ransomware como servicio, ya que uno de ellos criticó públicamente la operación en X.
Sin embargo, LockBit afirma que ahora están reclutando activamente pentesters experimentados para unirse nuevamente a su operación, lo que probablemente conducirá a mayores ataques en el futuro.
Fuente: https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/
0 Comentarios