Банда вымогателей LockBit заявляет, что снова в деле: человек, разместивший сообщение, признающий свою «личную халатность и безответственность» за необновление приложения, вероятно, был использован правоохранительными органами на прошлой неделе для демонтажа большей части ИТ-инфраструктуры операции.
Это объяснение включено в сообщение на английском и русском языках на новом сайте TOR банды. Полный текст опубликован на X пользователем vx-underground.
Иногда бессвязное сообщение под заголовком «Что произошло» датировано 24 февраля и содержит отчет о нападении 19 февраля, в котором без каких-либо доказательств утверждается, что ФБР атаковало именно сейчас, потому что банда или ее филиал украли документы, связанные с расследованием в Джорджии. в обвинениях Дональд Трамп и другие пытались вмешаться в результаты президентских выборов 2020 года в штате, который LockBit собирался обнародовать, утверждает, что банда не была обанкротена, и обещает, что будут ответные атаки на американские домены .gov.
На новом сайте LockBit перечислены несколько новых жертв, а также округ Фултон, штат Джорджия. По данным новостного сайта Databreaches.net.LockBit заявил, что атаковал округ до разрушения его инфраструктуры 19 февраля.
В сообщении от 24 февраля автор пишет, что 19 февраля он обнаружил «тестирование на проникновение» на двух своих серверах. Была обнаружена ошибка, но, судя по всему, ничего не изменилось. «Я не обратил на это особого внимания, потому что за 5 лет купания в деньгах я стал очень ленивым и продолжал кататься на своей яхте с сисястыми девчонками».
Однако спустя 14 часов, после того как выскочила новая ошибка сервера, он заявил, что не может войти в систему. «Как выяснилось позже, вся информация на дисках была стерта».
Проблема, по его мнению, заключается в том, что он не обновил серверный PHP, язык сценариев общего назначения с открытым исходным кодом, используемый для веб-разработки. Он полагает, что злоумышленники получили доступ к двум серверам LockBit через ту или иную уязвимость нулевого дня.
«На новых серверах теперь установлена последняя версия PHP», — говорится в письме. «Проблему PHP я заметил случайно, и я единственный, у кого есть децентрализованная инфраструктура с разными серверами, поэтому я смог быстро выяснить, как произошла атака. Если бы у меня не было резервных серверов без PHP, я бы, вероятно, не понял, как произошел взлом».
«Тот факт, что LockBit перезапустил свой веб-сайт, не вызывает особого удивления и не означает, что попытка дезорганизации оказалась безуспешной», — сказал Бретт Кэллоу, канадский аналитик угроз из Emsisoft. Мир ИТ Канады. «Напротив, правоохранительные органы, вероятно, получили ценную информацию, которая позволит им идентифицировать и принять меры против прошлых и нынешних филиалов LockBit, а также других лиц, участвующих в цепочке поставок программ-вымогателей.
«На самом деле, это, скорее всего, конец бренда LockBit. Другие киберпреступники не захотят рисковать, работая над операцией, которая была настолько тщательно скомпрометирована. Это было бы просто слишком рискованно».
Национальное агентство Великобритании по борьбе с киберпреступностью говорит, что получил «Исходный код платформы LockBit и огромный объем информации из их систем об их деятельности и о тех, кто работал с ними и использовал их услуги для нанесения вреда организациям по всему миру». Сотрудничая с ФБР и правоохранительными органами девяти других стран, они захватили инструмент для кражи данных LockBit, известный как Stealbit, 28 серверов, принадлежащих филиалам LockBit, и более 1000 ключей расшифровки данных.
Автор LockBit говорит, что ФБР получило «базу данных, исходные коды веб-панелей, заглушки шкафчиков, которые не являются источниками, как они утверждают, и небольшую часть незащищенных дешифраторов».
«Да, это плохо, — говорит автор о потере расшифровщиков, — но это не смертельно». Он утверждает, что существует еще более 20 000 дешифраторов, которые были защищены и не могут быть использованы жертвами для расшифровки своих данных.
По его словам, изъятая база данных содержит «сгенерированные псевдонимы», а не настоящие псевдонимы партнеров LockBit. Но он признает, что правоохранительные органы действительно получили криптовалютные кошельки. Но он говорит, что людей будут арестовывать и обвинять в соучастии, хотя, по его словам, это не так.
Что касается получения полицией исходного кода панели, то оставшаяся часть панели будет разделена на множество серверов для проверенных партнеров, говорит автор LockBit, и каждый партнер получит свою собственную копию. чтобы уменьшить вероятность будущего взлома.
Полиция сообщила, что несколько предполагаемых членов банды LockBit были арестованы, но LockBit считает, что это были только люди, которые отмывали криптовалюту.
«ФБР решило взломать сейчас только по одной причине», — утверждает автор LockBit, — потому что они не хотели видеть утечку информации из округа Фултон, штат Джорджия, где под следствием якобы находится бывший президент США Дональд Трамп и другие. пытаясь изменить исход выборов 2020 года в штате.
Если бы не атака ФБР, утверждает автор, документы были бы обнародованы 19 февраля. «Поскольку переговоры зашли в тупик сразу после того, как партнер опубликовал пресс-релиз в [LockBit] блог… Если бы не ситуация с выборами, ФБР продолжало бы сидеть на моем сервере, ожидая каких-либо зацепок для ареста меня и моих сообщников, но все, что вам нужно сделать, чтобы не попасться, — это просто качественное отмывание криптовалюты».
«Даже после взлома ФБР украденные данные будут опубликованы в блоге, шансов уничтожить украденные данные без оплаты нет», — говорится в сообщении. «А после введения максимальной защиты в каждую сборку шкафчика шансов на бесплатную расшифровку не будет даже у 2,5 процентов атакованных компаний».
«Новые партнеры могут работать в моей партнерской программе, если они имеют репутацию на форуме, могут доказать свою пентестерство с помощью постоплаты или внеся депозит в 2 биткойна, увеличение депозита происходит за счет доказательств и красивой рекламы от ФБР, которая заключается в том, что я и мои партнеры вместе зарабатываем сотни миллионов долларов, и что никакое ФБР со своими помощниками не сможет меня напугать и остановить, стабильность службы гарантирована годами непрерывной работы».
По мнению исследователей из швейцарской компании Prodaft, У LockBit есть семь филиалов, которые используют программу-вымогатель как услугу, некоторые из которых связаны с другими субъектами угроз, такими как FIN7, Wizard Spider и EvilCorp. Один из них ориентирован почти исключительно на серверы GIT и Jenkins, другой полагается на скомпрометированную информацию о серверах Microsoft RDP от некоторых брокеров начального доступа, а третий в первую очередь фокусируется на уязвимых платформах Fortigate и Citrix. Некоторые тренируют другие дочерние банды.
