L'operazione LockBit ransomware-as-a-service (RaaS) ha rilanciato il suo sito di fuga, appena una settimana dopo un'operazione coordinata di rimozione dalle forze dell’ordine globali.
Il 19 febbraio, la “Operazione Cronos Taskforce” – che comprende, tra le altre agenzie, l'FBI, l'Europol e la National Crime Agency (NCA) del Regno Unito – ha effettuato un'azione massiccia. Secondo la National Crime Agency (NCA) britannica, la task force ha distrutto infrastrutture sparse in tre paesi, comprese dozzine di server. Ha sequestrato codice e altre preziose informazioni, una grande quantità di dati rubati alle sue vittime e oltre 1,000 chiavi di decrittazione associate. Ha vandalizzato il sito di fuga di notizie del gruppo e il suo portale affiliato, ha congelato più di 200 conti di criptovaluta, ha arrestato un cittadino polacco e un ucraino e ha incriminato due cittadini russi.
Un portavoce della NCA ha riassunto il tutto il 26 febbraio, dicendo a Reuters che il gruppo "resta completamente compromesso".
La persona ha aggiunto, tuttavia, che “il nostro lavoro per prenderli di mira e contrastarli continua”.
In effetti, l’operazione Cronos potrebbe non essere stata così completa come sembrava a prima vista. Sebbene le forze dell'ordine siano riuscite a danneggiare l'infrastruttura primaria di LockBit, ha ammesso il suo leader in una lettera, i suoi sistemi di backup sono rimasti intatti, consentendo all'operazione di riprendersi rapidamente.
Il messaggio lasciato sul portale affiliato di LockBit; Fonte: vx-underground tramite X (ex Twitter)
"Alla fine dei conti, si tratta di un duro colpo da parte delle forze dell'ordine nei loro confronti", afferma l'ex agente speciale dell'FBI Michael McPherson, ora vicepresidente senior delle operazioni tecniche presso ReliaQuest. "Non penso che nessuno sia abbastanza ingenuo da dire che questo è il chiodo nella bara per questo gruppo, ma questo è un duro colpo."
Il lato della storia di LockBit
Sarebbe bene accogliere il leader di LockBit con scetticismo. "Come molti di questi ragazzi nel campo dei ransomware, ha un bel ego, è un po' instabile. Ed è noto per raccontare storie piuttosto alte quando si adatta al suo obiettivo", afferma Kurtis Minder, negoziatore di ransomware e co-fondatore e CEO di GroupSense.
Nella sua lettera, tuttavia, la persona o le persone a cui Minder si riferisce come "Alex" ha un tono particolarmente umile.
"A causa della mia personale negligenza e irresponsabilità mi sono rilassato e non ho aggiornato PHP in tempo", ha scritto il leader del ransomware, citando il bug PHP critico, valutato 9.8 su 10 da CVSS CVE-2023-3824 “in conseguenza di ciò è stato ottenuto l'accesso ai due server principali su cui era installata questa versione di PHP. Mi rendo conto che potrebbe non essere stato questo CVE, ma qualcos'altro come 0day per PHP, ma non posso esserne sicuro al 100%."
Fondamentalmente, ha aggiunto, "tutti gli altri server con blog di backup che non avevano PHP installato non sono interessati e continueranno a fornire dati rubati alle società attaccate". Infatti, grazie a questa ridondanza, il sito di fuga di LockBit è tornato attivo e funzionante dopo una settimana, con una dozzina di vittime: una piattaforma di prestito, una rete nazionale di laboratori odontoiatrici e, in particolare, la contea di Fulton, in Georgia, dove si trova l'ex presidente Trump. attualmente coinvolto in una battaglia legale.
Fonte: Bitdefender
L’azione delle forze dell’ordine ha un impatto?
Ormai da anni, le forze dell'ordine statunitensi e dell'UE hanno fatto notizia con raid di alto profilo contro importanti operazioni di ransomware: Alveare, AlphV/BlackCat, Armadietto Ragnar, e così via. Ciò nonostante questi sforzi i ransomware continuano ad aumentare può ispirare apatia in alcuni.
Ma in seguito a tali raid, spiega McPherson, “o questi gruppi non si sono ricostituiti, oppure si sono ripresi in modo minore. Ad esempio, Hive non è ancora riuscito a tornare: c'era interesse, ma in realtà non si è concretizzato.
Anche se le forze dell'ordine non hanno eliminato completamente LockBit, è probabile che abbia comunque causato gravi danni agli hacker. Ad esempio, sottolinea Minder, "apparentemente hanno avuto accesso ad alcune informazioni degli affiliati", il che offre alle autorità un notevole potere d'influenza.
"Se sono un affiliato o un altro sviluppatore di ransomware, potrei pensarci due volte prima di interagire con queste persone nel caso in cui abbiano diventato informatore dell'FBI. Quindi sta creando una certa sfiducia. D'altro canto, penso che stiano facendo lo stesso con LockBit dicendo: "Ehi, in realtà sappiamo chi sono tutti gli affiliati, abbiamo tutte le loro informazioni di contatto". Quindi ora LockBit sarà sospettoso nei confronti dei propri affiliati. C'è un po' di caos. È interessante."
Per risolvere davvero il ransomware a lungo termine, tuttavia, i governi potrebbero dover integrare le operazioni di rimozione appariscenti con politiche e programmi efficaci.
“Deve esserci un programma equilibrato, magari a livello di governo federale, che effettivamente aiuti nella prevenzione, nella risposta e nella riparazione. Penso che se vedessimo quanto capitale sta effettivamente lasciando l’economia americana a causa di questo tipo di attività, vedremmo che avrebbe senso sovvenzionare un programma del genere, che eviterebbe alle persone di dover pagare i riscatti”, lui dice.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-
