Το LockBit Ransomware επανεμφανίζεται με νέα ιστοσελίδα με leaks εν μέσω των επιπτώσεων της καταστολής των διωκτικών αρχών

Κατά τη διάρκεια του Σαββατοκύριακου, η ομάδα ransomware LockBit επανεμφανίστηκε με μια νέα τοποθεσία διαρροής, σηματοδοτώντας μια προσπάθεια αποκατάστασης των λειτουργιών της μετά από μια σημαντική κατάρριψη από την επιβολή του νόμου στις 19 Φεβρουαρίου. Η δράση των αρχών επιβολής του νόμου περιελάμβανε την κατάσχεση 34 διακομιστών, την κατάληψη των ιστότοπων διαρροών που βασίζονται στο Tor, τη δέσμευση λογαριασμών κρυπτονομισμάτων και την απόκτηση 1.000 κλειδιών αποκρυπτογράφησης για να βοηθηθούν τα θύματα χωρίς την καταβολή λύτρων. Δύο άτομα που σχετίζονται με την LockBit συνελήφθησαν και η κυβέρνηση των ΗΠΑ ανακοίνωσε αμοιβές και κατηγορίες εναντίον της ομάδας ransomware.

Ο νέος ιστότοπος διαρροής, που εγκαινιάστηκε από ένα άτομο γνωστό ως "LockBitSupp", απαριθμεί εκατοντάδες οργανώσεις θυμάτων και παρέχει πληροφορίες σχετικά με την προοπτική της ομάδας για την κατάσχεση από την επιβολή του νόμου. Το LockBitSupp αποδίδει την κατάληψη των ευάλωτων ιστότοπων σε ένα ελάττωμα της PHP, αλλά ισχυρίζεται ότι οι ιστότοποι που δεν τη χρησιμοποιούν παρέμειναν ανεπηρέαστοι. Το μήνυμα στον ιστότοπο της διαρροής υποδηλώνει ότι η κατάσχεση προκλήθηκε από το hack του Ιανουαρίου στην κομητεία Fulton της Τζόρτζια και επικρίνει τον χειρισμό της επιχείρησης.

Η LockBitSupp αναγνωρίζει τις προκλήσεις που αντιμετωπίζει η LockBit, συμπεριλαμβανομένων των τεχνικών δυσκολιών με τις τοποθεσίες διαρροής, των καθυστερήσεων στην κυκλοφορία μιας νέας παραλλαγής ransomware και των δυσκολιών στην προσέλκυση και διατήρηση συνεργατών. Παρά το γεγονός ότι η LockBit αντιπροσωπεύει περίπου το 25% των επιθέσεων ransomware κατά το τελευταίο έτος, η φήμη της έχει υποχωρήσει και αντιμετωπίζει προβλήματα με την πρόσληψη συνεργατών. Η ομάδα κάλεσε πρόσφατα συνεργάτες από αντίπαλες ομάδες να ενταχθούν στη LockBit, γεγονός που σηματοδοτεί πιθανή απελπισία.

Ενώ το LockBitSupp έχει αντιμετωπίσει προβλήματα αξιοπιστίας σε "υπόγεια" φόρουμ, φαίνεται ότι η ομάδα ransomware ετοιμάζεται να κυκλοφορήσει μια νέα έκδοση με την ονομασία LockBit-NG-Dev. Αυτό το κακόβουλο λογισμικό που βασίζεται στο .NET και βρίσκεται ακόμη υπό ανάπτυξη, είναι ανεξάρτητο από πλατφόρμες, λιγότερο εξελιγμένο από τις προηγούμενες εκδόσεις και δεν έχει δυνατότητες αυτοδιάδοσης. Ωστόσο, έχει τη δυνατότητα να εξελιχθεί σε LockBit 4.0.

Οι ειδικοί σε θέματα κυβερνοασφάλειας εκφράζουν σκεπτικισμό σχετικά με την ικανότητα της LockBit να ανοικοδομήσει αποτελεσματικά την υποδομή της, επικαλούμενοι τεχνικές ελλείψεις και την αποχώρηση σημαντικού προσωπικού. Η RedSense, μια εταιρεία πληροφοριών απειλών, προτείνει ότι μια "ομάδα-φάντασμα" με το όνομα Zeon, που αποτελείται από πρώην χειριστές της Conti, είναι ο πραγματικός εγκέφαλος πίσω από το LockBit. Η κατάρριψη της επιχείρησης επέφερε σημαντικό πλήγμα στη Zeon, η οποία μπορεί να στρέψει την προσοχή της σε άλλες επιχειρήσεις ransomware, αφήνοντας το LockBit σε μια θέση που είναι απίθανο να ανακάμψει πλήρως.

Καθώς η LockBit προσπαθεί να ξεπεράσει τα επακόλουθα της δράσης των διωκτικών αρχών, η κοινότητα κυβερνοασφάλειας παραμένει σε εγρήγορση, αξιολογώντας τις πιθανές επιπτώσεις της αναζωπύρωσης της ομάδας και του εξελισσόμενου τοπίου των απειλών ransomware.