Este fin de semana reapareció un sitio con los colores de LockBit 3.0. Y con él, un mensaje que sugiere la reanudación de la actividad.
LockBit, ¿ realmente desmantelado ? Lo que pasó este fin de semana no lo parece.
Los sitios con el nombre y los colores del grupo han reaparecido en la web oscura. Uno de ellos enumera una docena de presuntas víctimas… entre ellas un grupo francés: IDEA (proveedor de servicios logísticos). Incluye una entrada «fbi.gov». El enlace no conduce a datos robados, sino a un mensaje en inglés y ruso. Repasa, en primera persona, una cronología de los acontecimientos de la semana pasada.
“El 19 de febrero se realizaron pruebas de penetración en dos de mis servidores. A las 6:39 UTC descubrí un error 502 en el sitio. » Así comienza esta historia. Se habla de un fallo de PHP (CVE-2023-3824). Fue ella quien habría permitido el acceso a la infraestructura de LockBit. O más precisamente a una parte: “Si no hubiera tenido servidores de respaldo sin PHP, probablemente no habría notado el hack”, podemos leer.
Se nos dice que estos servidores tienen integridad. Por lo tanto, continúan alojando los datos robados. De hecho, todavía puedes acceder a la descarga de estos. A él están asociados, entre otros, el departamento de Ardèche (360 MB de datos), el municipio de Saint-Cloud (13 MB) y el portal Justice.fr (6 GB). Están cerca de varios despachos de abogados (Bredin Prat, COTEG & AZAM, PLR Avocats). También encontramos mezclados una ESN (IDLINE), un paisajista (J.Richard Group), una distribuidora de alimentación (Avidoc), un fabricante de puertas automáticas (ESTPM), etc.
¿LockBit quiere presionar a las autoridades para que revelen su juego?
El mensaje atribuye el momento de la operación de desmantelamiento al riesgo de filtración de información robada en enero del condado de Fulton (Georgia), y potencialmente comprometedora para la administración Biden.
El autor extrae una lección de esto: atacar más al sector gubernamental. Su premisa: esto obligará a las autoridades a actuar contra los ciberdelincuentes. Y por tanto revelarles sus debilidades, que así podrán superar.
El resto del mensaje minimiza el alcance de la información recopilada por las fuerzas del orden ( stubs y no código fuente, gran proporción de descifradores protegidos y por lo tanto no explotables, etc.). Y elogia la solidez de la nueva infraestructura de LockBit, entre la descentralización del acceso de los socios y la transición a la publicación totalmente manual de descifradores. Fuente NetMedia Francia (CB), traducido al español
Contacto