Хакеры благодарят ФБР за «бесплатный пентест» и призывают проводить его почаще.
На просторах даркнета вновь активизировалась операция по распространению вымогательского ПО LockBit, всего через несколько дней после того, как международные правоохранительные органы взяли под контроль её инфраструктуру.
LockBit переместила свой портал утечки данных на новый onion-адрес в сети Tor и опубликовала информацию о 12 новых жертвах. Администратор преступной сети, также известный под псевдонимом «LockbitSupp» в своём подробном сообщении признал, что некоторые из веб-сайтов группы были захвачены правоохранителями, вероятно, из-за эксплуатации государственными хакерами критической уязвимости CVE-2023-3824 в PHP.
LockbitSupp отметил свою личную халатность, безответственность и банальную лень как причину, по которой PHP не был обновлён до безопасной версии.
Кроме того, в сообщении было указано, что ФБР и партнёры агентства из других стран, взломали инфраструктуру LockBit в ответ на атаку вымогательского ПО на американский город Фултон в январе, так как украденные там документы якобы содержали важную информацию, включая данные по судебным делам Дональда Трампа, которые могут повлиять на предстоящие выборы в США.
Администратор также не видит ничего кардинально плохого в том, что инфраструктура LockBit была взломана, ведь правоохранители позволили ему обнаружить уязвимости в этой инфраструктуре, проведя своеобразный «бесплатный пентест». Более того, администратор LockBit призывает аффилиатов чаще нападать на государственный сектор США, чтобы ещё чаще вызывать ответную реакцию и «становиться сильнее».
В своём обращении LockbitSupp также заявил, что никогда не сотрудничал с правоохранительными органами, о чём заявили британские правоохранители на взломанном onion-портале группировки.
LockbitSupp также объяснил четырёхдневную задержку в восстановлении работы тем, что необходимо было адаптировать исходный код платформы под последнюю версию PHP из-за несовместимости.
В заключение он пообещал усилить защиту своих программ и перейти к ручному режиму выдачи дешифраторов, чтобы в случае новой атаки ФБР не смогло получить дешифраторы бесплатно.
Как можно понять из сообщения LockbitSupp, деятельность LockBit продолжается с новой силой, в связи с чем в ближайшее время стоит ожидать ещё больше новостей о новых атаках известной вымогательской банды. Судя по всему, теперь они ещё чаще будут направлены на государственные структуры США и других стран.
Тем временем, задействованные в операции «Кронос» правоохранители прокомментировали восстановление инфраструктуры LockBit как нечто вполне ожидаемое. Они заявили, что возможность для более тысячи жертв восстановить свои данные без уплаты выкупа для них даже приоритетнее, чем полная ликвидация группировки. Кто знает, может позже «ФБР и компания» ударят по LockBit ещё раз, но уже с новой силой.
Кроме того, правоохранители считают, что им удалось запятнать репутацию LockBit, тем самым подорвав доверие со стороны аффилиатов и уменьшив число потенциальных партнёров преступной сети.
Никаких овечек — только отборные научные факты