یک ائتلاف بین‌المللی مجری قانون، وب‌سایت تاریک باج‌افزار بدنام LockBit را که در اوایل سال جاری تصرف کرده بودند، احیا کرده است و افشاگری‌های جدیدی را درباره این گروه منتشر می‌کند.

روز یکشنبه، سایت تاریک‌نت رسمی LockBit با پیام‌های جدیدی دوباره به صورت آنلاین ظاهر شد که نشان می‌دهد مقامات قصد دارند تا ۲۴ ساعت آینده اطلاعات جدیدی درباره هکرها منتشر کنند.

مقالات دارای عناوینی مانند “LockBitSupp کیست؟” “، “چه چیزی یاد گرفتیم”، “هکرهای LB بیشتری افشا شدند” و “چه کار کردیم؟” »

در ماه فوریه، یک ائتلاف مجری قانون شامل آژانس ملی جنایت بریتانیا، دفتر تحقیقات فدرال ایالات متحده، و همچنین نیروهایی از آلمان، فنلاند، فرانسه، ژاپن و سایرین، اعلام کردند که به وب سایت رسمی LockBit نفوذ کرده اند. ائتلاف سایت را تصرف کرد و اطلاعات موجود در آن را با بیانیه مطبوعاتی خود و سایر اطلاعات جایگزین کرد تا به طور واضح به هکرها هشدار دهد که مقامات آنها را زیر نظر دارند.

عملیات فوریه همچنین شامل دستگیری دو عضو مظنون LockBit در اوکراین و لهستان، حذف 34 سرور در اروپا، بریتانیا و ایالات متحده و همچنین توقیف بیش از 200 کیف پول از ارزهای دیجیتال متعلق به هکرها بود.

NCA و FBI بلافاصله به درخواست اظهار نظر پاسخ ندادند.

LockBit اولین بار در سال 2019 ظهور کرد و از آن زمان به یکی از پرکارترین باج افزارهای باج افزار در جهان تبدیل شده است که میلیون ها دلار باج به دست آورده است. این گروه ثابت کرده است که بسیار مقاوم است. حتی پس از حذف در ماه فوریه، این گروه با یک سایت نشت جدید در وب تاریک که به طور فعال به روز شده بود، دوباره ظهور کرد. با قربانیان ادعایی جدید.

همه پست‌های جدید به جز یکی از وب‌سایت‌های توقیف‌شده دارای شمارش معکوس هستند که در ساعت 9 صبح روز سه‌شنبه، 7 می به پایان می‌رسد، که نشان می‌دهد در آن زمان است که مجری قانون اقدامات جدیدی را علیه LockBit اعلام خواهد کرد. در پست دیگری آمده است که سایت چهار روز دیگر بسته خواهد شد.

از زمانی که مقامات در ماه فوریه آنچه را که آنها “عملیات کرونوس” علیه LockBit نامیدند، اعلام کردند، رهبر این گروه، معروف به LockBitSupp، در مصاحبه ای مدعی شد که مجری قانون در دسترسی آن به سازمان جنایی و همچنین تأثیرات برچیده شدن آن اغراق کرده است.

یکشنبه، گروه هک vx-underground نوشته است آنها با کارکنان اداری LockBit صحبت کردند که به آنها گفتند پلیس دروغ می گوید.

“من نمی فهمم چرا آنها این نمایش کوچک را انجام می دهند. آنها به وضوح از ادامه کار ما ناراضی هستند.

هویت LockBitSupp هنوز ناشناخته است، اگرچه ممکن است به زودی تغییر کند. یکی از پست‌های جدید سایت LockBit توقیف شده، وعده افشای هویت هکر را در روز سه‌شنبه می‌دهد. البته لازم به ذکر است که نسخه قبلی سایت توقیف شده نیز ظاهراً وعده افشای هویت سرکرده باند را می داد، اما در نهایت موفق به انجام این کار نشد.

آژانس امنیت سایبری ایالات متحده CISA هشدار داده است که هکرهای ناشناس با استفاده از یک آسیب‌پذیری شناخته شده در نرم‌افزاری که دیگر به‌روزرسانی دریافت نمی‌کند، به سرورهای یک آژانس دولتی فدرال نفوذ کرده‌اند – به این معنی که آژانس حتی اگر او می‌خواست نمی‌توانست او را اصلاح کند.

روز سه‌شنبه، CISA توصیه‌ای را منتشر کرد که در آن جزئیات دو حمله سایبری جداگانه علیه یک آژانس دولتی فدرال که نامش فاش نشده بود، ارائه شد. هکرها در ماه ژوئن و ژوئیه با هدف قرار دادن سرورهای عمومی که از نرم افزار Adobe ColdFusion منسوخ شده استفاده می کردند یا برای ایجاد برنامه های وب استفاده می کردند، به آژانس حمله کردند.

نرم افزار پایان عمر به این معنی است که توسعه دهنده به طور عمومی اعلام کرده است که دیگر پشتیبانی نخواهد شد یا دیگر نرم افزار یا به روز رسانی های امنیتی را دریافت نخواهد کرد. اجرای نرم افزار پایان عمر ذاتاً مخاطره آمیز است زیرا قابل تعمیر نیست، که سازمانی را که نرم افزار را اجرا می کند در معرض حملات سایبری قرار می دهد.

با ما تماس بگیرید

آیا اطلاعات بیشتری در مورد این حملات دارید؟ یا حملات دیگری که سازمان های دولتی را هدف قرار می دهند؟ ما دوست داریم از شما بشنویم. می‌توانید با Lorenzo Franceschi-Bicchierai به‌طور ایمن از طریق Signal به شماره 1 917 257 1382+ یا از طریق تلگرام، Keybase و Wire @lorenzofb یا از طریق ایمیل به آدرس [email protected] تماس بگیرید. همچنین می توانید از طریق SecureDrop با TechCrunch تماس بگیرید.

CISA گفت هیچ مدرکی دال بر اینکه مهاجمان بدافزار کار گذاشته اند یا کاری جز جاسوسی در اطراف شبکه آژانس هک شده انجام داده اند وجود ندارد.

“تحلیل نشان می دهد که فعالیت مخرب انجام شده توسط عوامل تهدید یک تلاش شناسایی با هدف ترسیم نقشه شبکه گسترده تر بود.” اما CISA پذیرفت که نمی تواند تایید کند که داده ها از این شبکه خارج شده اند یا خیر.

CISA به درخواست برای اظهار نظر پاسخ نداد، زمانی که TechCrunch اطلاعات بیشتری در مورد اینکه آژانس معتقد است هکرهای مسئول هدف قرار دادن آژانس هستند، درخواست کرد. در این مشاوره، CISA اعلام کرد که نمی داند آیا این دو حمله سایبری توسط همان هکرها انجام شده است یا خیر.

در هر دو حمله سایبری، Microsoft Defender for Endpoint، نرم افزار آنتی ویروس بومی ویندوز، آژانس را در مورد سوء استفاده احتمالی از آسیب پذیری Adobe ColdFusion هشدار داد و فعالیت های هکرها را “قرنطینه” کرد.

در ماه مارس، CISA به همه آژانس‌های فدرال دستور داد تا یکی از آسیب‌پذیری‌های شناخته شده در Adobe ColdFusion را که در این حملات مورد سوء استفاده قرار گرفته بود، یعنی CVE-2023-26360، اصلاح کنند.