LockBit Ransomware kehrt zurück
Kurz nachdem Strafverfolgungsbehörden die Infrastruktur der LockBit-Ransomware lahmgelegt hatten, meldet sich die kriminelle Gruppe mit neuer Infrastruktur zurück. In einer öffentlichen Botschaft, die Aufmerksamkeit erregen soll, räumt die Gruppe eigene Nachlässigkeiten ein und kündigt an, ihre Angriffe verstärkt gegen den Regierungssektor zu richten.
Bildquelle: Darkweb
Weniger als eine Woche nachdem Strafverfolgungsbehörden die Server der LockBit-Ransomware-Gruppe gehackt hatten, meldet sich die kriminelle Organisation mit einem Neustart ihrer Operationen auf einer neuen Infrastruktur zurück. In einer provokanten Botschaft, die unter einer gefälschten FBI-Leak-Ästhetik veröffentlicht wurde, legt die Gruppe ein Geständnis über ihre Fahrlässigkeit ab, die den Eingriff ermöglichte, und teilt ihre zukünftigen Pläne, mit einem verstärkten Fokus auf den Regierungssektor.
Am 19. Februar wurden LockBits Infrastrukturen von den Behörden lahmgelegt, wobei 34 Server, die die Datenleck-Website, ihre Spiegelserver, gestohlene Daten, Kryptowährungsadressen, Entschlüsselungsschlüssel und das Affiliate-Panel hosteten, betroffen waren. Nur fünf Tage später kündigte LockBit ein Comeback an und erläuterte Details zum Sicherheitsvorfall sowie Anpassungen im Geschäftsbetrieb, um ihre Infrastruktur widerstandsfähiger gegen Hackerangriffe zu machen.
Direkt nach der Stilllegung bestätigte die Gruppe den Verlust der PHP-Server, wies jedoch darauf hin, dass Backup-Systeme ohne PHP unberührt blieben. LockBit gab bekannt, den Ransomware-Betrieb wieder aufzunehmen und räumte in einer Schadensbegrenzungskommunikation ein, dass „persönliche Fahrlässigkeit und Verantwortungslosigkeit“ zur Störung ihrer Aktivitäten in der Operation Cronos geführt hatten.
Die Gruppe behielt ihren Markennamen bei und verlegte ihre Datenleck-Website auf eine neue .onion-Adresse, die fünf Opfer mit Countdown-Timern für die Veröffentlichung gestohlener Informationen auflistet. Einige der Organisationen auf der „Datenleck“-Seite von LockBit scheinen Opfer bereits bekannter Angriffe zu sein.
LockBit gab zu, dass Strafverfolgungsbehörden, die sie kollektiv als das FBI bezeichneten, zwei Hauptserver kompromittierten, da sie „nach fünf Jahren im Geld schwimmen sehr faul geworden waren“. Sie führten den Hack auf ihre eigene Nachlässigkeit und das Versäumnis zurück, PHP rechtzeitig zu aktualisieren, wobei die Server wahrscheinlich über eine kritische Schwachstelle, identifiziert als CVE-2023-3824, gehackt wurden.
Der Cyberkriminelle spekulierte, dass der Angriff des FBI auf ihre Infrastruktur eine Reaktion auf den Ransomware-Angriff auf Fulton County im Januar war, der das Risiko barg, Informationen zu veröffentlichen, die „viele interessante Dinge und Donald Trumps Gerichtsfälle enthielten, die die bevorstehenden US-Wahlen beeinflussen könnten“.
LockBit plant, seine Sicherheitsmaßnahmen für die Infrastruktur zu verstärken, indem es manuelle Freigaben von Entschlüsselungscodes und Probeentschlüsselungen einführt sowie das Affiliate-Panel auf mehreren Servern hostet und seinen Partnern Zugang zu verschiedenen Kopien basierend auf dem Vertrauensniveau bietet.
Die ausführliche Botschaft von LockBit erscheint als Versuch, das angekratzte Ansehen wiederherzustellen und Glaubwürdigkeit zurückzugewinnen. Trotz des Rückschlags und der Wiederherstellung der Server könnten Affiliates jedoch misstrauisch bleiben.
Downloads: