LockBit affirme que des détails sensibles des affaires judiciaires de Donald Trump ont motivé l’opération
En bref: Cela fait à peine une semaine que LockBit a vu son site Internet repris et ses opérations perturbées par une opération internationale conjointe, mais le groupe de ransomwares le plus prolifique au monde est déjà de retour. Le gang affirme avoir restauré ses serveurs et se lancer à nouveau dans le secteur de la cybercriminalité.
La semaine dernière, le site Web de LockBit a affiché une bannière informant les visiteurs qu’il était sous le contrôle des forces de l’ordre. L’opération impliquait la National Crime Agency (NCA) du Royaume-Uni, le FBI et un groupe de travail international nommé Operation Cronos. Les opérations de LockBit ont été perturbées et des membres présumés du groupe ont été arrêtés dans plusieurs pays.
LockBit a déclaré à l’époque que le FBI avait piraté les serveurs de l’opération de ransomware à l’aide d’un exploit PHP, mais que ses serveurs de sauvegarde n’avaient pas été touchés.
« Tous les autres serveurs avec des blogs de sauvegarde sur lesquels PHP n’est pas installé ne sont pas affectés et continueront à fournir des données volées aux entreprises attaquées », a déclaré LockBit dans un communiqué publié sur son site darkweb.
LockBit a également déclaré qu’elle reprenait son activité de ransomware et a admis que « la négligence personnelle et l’irresponsabilité » avaient conduit les forces de l’ordre à perturber ses activités, écrit BleepingComputer. « Parce que pendant 5 ans à nager dans l’argent, je suis devenu très paresseux », a écrit l’acteur menaçant. « En raison de ma négligence personnelle et de mon irresponsabilité, je me suis détendu et je n’ai pas mis à jour PHP à temps. »
Le groupe affirme que l’administrateur, le serveur des panneaux de discussion et le serveur de blog exécutaient PHP 8.1.2 et ont probablement été piratés à l’aide de la vulnérabilité critique CVE-2023-3824.
Le message affirme que le FBI a piraté l’infrastructure de LockBit en raison de l’attaque de ransomware contre le comté de Fulton qui a révélé « beaucoup de choses intéressantes et les procès de Donald Trump qui pourraient affecter les prochaines élections américaines ». Le gang a déclaré qu’il avait l’intention d’attaquer le secteur gouvernemental plus souvent à l’avenir pour voir si les forces de l’ordre ont les capacités de riposter.
Le site de fuite de données de LockBit a été déplacé vers une nouvelle adresse .onion qui affiche cinq comptes à rebours avec les noms d’entreprises. Ils indiquent combien de temps chaque organisation doit payer la rançon, après quoi les informations volées seront publiées.
La NCA du Royaume-Uni a déclaré à PCMag qu’en travaillant avec des partenaires internationaux, elle avait réussi à infiltrer et à prendre le contrôle des systèmes de Lockbit et à compromettre l’ensemble de leurs opérations criminelles.
« Leurs systèmes ont maintenant été détruits par la NCA, et nous estimons que LockBit reste complètement compromis. »
« Nous avons reconnu que LockBit tenterait probablement de regrouper et de reconstruire ses systèmes », a ajouté la NCA. « Cependant, nous avons rassemblé une énorme quantité de renseignements sur eux et sur ceux qui leur sont associés, et notre travail pour les cibler et les perturber se poursuit. »
Les autorités affirment avoir collecté plus de 1 000 clés de déchiffrement dans le cadre de leur opération contre LockBit, bien que le groupe affirme que ce nombre est grandement exagéré et qu’il existe environ 40 000 clés au total.
Titre : Freepik
