Feb 26, 2024 Attacchi, Hacking, In evidenza, News
L’addio a LockBit è stato molto breve: dopo pochi giorni dall’annuncio del Dipartimento di Giustizia statunitense di aver smantellato l’intera infrastruttura del gruppo, gli attaccanti sono riemersi minacciando nuovi attacchi.
In un lungo post pubblicato sul dark web, il gruppo ha spiegato come ha scoperto dell’attacco, specificando che le forze dell’ordine hanno probabilmente sfruttato la CVE-2023-3824 per colpire i server, un bug di stack buffer overflow presente in alcune versioni di PHP. La gang ha anche sottolineato di aver già messo in funzione i server di backup e che il ransomware è pronto a colpire di nuovo.
“Quali conclusioni si possono trarre da questa situazione? Molto semplice, che devo attaccare il settore .gov sempre più spesso. È dopo questi attacchi che l’FBI sarà costretta a mostrarmi debolezze e vulnerabilità e a rendermi più forte. Attaccando il settore .gov si può sapere esattamente se l’FBI ha la capacità di attaccarci o meno” si legge nella nota.
Secondo il gruppo, l’FBI ha deciso di attaccare solo in questo momento l’infrastruttura per evitare un leak di documenti governativi che “contengono molte informazioni interessanti” e in particolari “sui casi giudiziari di Donald Trump che potrebbero influenzare le prossime elezioni”. LockBit ha confermato che, se non fosse stato per l’attacco dell’FBI, i documenti sarebbero stati pubblicati il giorno stesso, visto che le negoziazioni sul riscatto erano in stallo.
Il gruppo ha inoltre specificato che, a differenza delle dichiarazioni dell’FBI, l’Agenzia non sarebbe entrata in possesso dei dati originali ma solo dei placeholder, e che i decryptor a cui hanno avuto accesso (circa 1000) sono solo una piccola parte di quelli presenti sul server, protetti e non utilizzabili (20.000).
Riguardo i due arresti, la gang ritiene che si tratti solo di figure marginali, persone che riciclavano criptovalute ma che non erano da considerare partner del gruppo; secondo gli attaccanti, è possibile anche che gli arresti non siano proprio avvenuti.
Sembra che LockBit avesse chiesto all’FBI di pubblicare la sua dichiarazione, ma che l’Agenzia non abbia rispettato la promessa. Il gruppo ha anche accusato l’FBI di aver mentito sul suo conto affermando che non avrebbe davvero cancellato i dati sottratti alle aziende dopo che esse avevano pagato il riscatto.
“Tutte le azioni dell’FBI sono volte a distruggere la reputazione del mio programma di affiliazione, a demoralizzarmi. Vogliono che me ne vada e lasci il mio lavoro, vogliono spaventarmi perché non possono trovarmi ed eliminarmi, non posso essere fermato, non si può nemmeno sperare, finché sarò vivo continuerò a fare pentest”.
LockBit sembra più determinato che mai a continuare la sua attività e colpire gli Stati Uniti per vendicarsi dell’attacco subito. Il gruppo ha specificato che i documenti sottratti verranno comunque pubblicati sul proprio blog e non ci sarà possibilità di cancellarli se non pagando il riscatto.