The U.S. Federal Bureau of Investigation (FBI) otkrio je da posjeduje više od 7.000 ključeva za dešifriranje povezanih sa operacijom ransomware-a LockBit kako bi pomogao žrtvama da povrate svoje podatke bez ikakvih troškova.
LockBit, koji je nekada bio plodna ransomware banda, povezan je sa više od 2.400 napada širom svijeta, sa ne manje od 1.800 pogođenih entiteta u SAD-u Ranije ovog februara, međunarodna operacija za provođenje zakona pod nazivom Cronos koju vodi the U.K. National Crime Agency (NCA) onesposobio svoju online infrastrukturu.
Prošlog mjeseca, 31-godišnji ruski državljanin po imenu Dmitry Yuryevich Khoroshev je proglašen od strane vlasti kao administrator i programer grupe, što je LockBitSupp u međuvremenu demantovao.
Khoroshev je takođe navodno imenovao druge operatere ransomware-a kako bi policija mogla “go easy on him”. Uprkos ovim akcijama, LockBit je nastavio da ostane aktivan u okviru nove infrastrukture, iako nigdje ne funkcioniše na prethodnim nivoima.
Statistike koje je podijelio Malwarebytes pokazuju da je porodica ransomware-a povezana sa 28 potvrđenih napada u mjesecu aprilu 2024., što je stavlja iza Play-a, Hunters International-a i Black Bast-a.
Vordan je takođe naglasio da kompanije koje se odluče da plate kako bi spriječile curenje podataka nemaju garanciju da su informacije zapravo izbrisane od strane napadača, dodajući “čak i ako dobijete podatke nazad od kriminalaca, pretpostavite da bi oni jednog dana mogli biti objavljeni, ili ćete jednog dana ponovo biti iznuđeni za iste podatke.”
“Prema Veeam Ransomware Trends Report 2024, koji se zasniva na anketi 1.200 profesionalaca za sigurnost, organizacije koje su doživjele napad ransomwarea mogu oporaviti, u prosjeku, samo 57% kompromitovanih podataka, ostavljajući ih ranjivim na “znatan gubitak podataka i negativno poslovanje uticaj.”
Razvoj se poklapa s pojavom novih igrača kao što su SenSayQ i CashRansomware (aka CashCrypt), budući da postojeće porodice ransomware-a kao što su TargetCompany (aka Mallox i Water Gatpanapun) dosljedno usavršavaju svoje zanatstvo korištenjem nove varijante Linuxa za ciljanje VMWare ESXi sistema.
Napadi koriste prednost ranjivih Microsoft SQL servera da bi dobili početni pristup, tehniku koju je grupa usvojila od svog dolaska u junu 2021. Takođe utvrđuje da li ciljani sistem radi u VMWare ESXi okruženju i ima administrativna prava prije nego što nastavi dalje sa zlonamjerna rutina.
„Ova varijanta koristi shell skriptu za isporuku i izvršavanje tereta“, rekli su istraživači Trend Micro-a Darrel Tristan Virtusio, Nathaniel Morales i Cj Arsley Mateo. „The shell skripta takođe eksfiltrira informacije o žrtvi na dva različita servera tako da hakeri ransomware-a imaju rezervnu kopiju informacija.”
Kompanija za cyber sigurnost pripisala je napade koji su implementirali novu Linux varijantu Target Company ransomware-a filijali po imenu Vampire, koju je Sekoia takođe otkrila prošlog mjeseca.
Izvor:The Hacker News