El grupo de ransomware LockBit, uno de los más peligrosos y temidos del mundo, ha resurgido en la Dark Web con una nueva infraestructura menos de una semana después de que las fuerzas policiales de once países tomaran el control de sus servidores como parte de la operación 'Cronos', que también resultó en la detención de dos de sus miembros y en la incautación de más de 200 cuentas de criptomonedas.
La banda, que hace unos días ya negó su desarticulación entre proclamas que incluían que es "un imperio", ha trasladado su sitio de filtración de datos a una nueva dirección .onion en la red TOR, donde recoge hasta 12 nuevas víctimas con notas de rescate y temporizadores de cuenta regresiva que marcan el plazo que da para publicar la información robada.
Entre las víctimas se encuentra el condado de Fulton, en Georgia (EE.UU.), al que le da hasta el próximo 2 de marzo para pagar el rescate por la información que le robó el pasado mes de enero a través de un ciberataque de ransomware que el grupo considera ha propiciado la operación 'Cronos'.
"El FBI decidió hackearnos ahora por una sola razón: no querían filtrar información de https://fultoncountyga.gov/. Los documentos robados contienen muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses", afirma el grupo en una extensa carta firmada LockBitSupp, su administrador y representante en foros del cibercrimen como Exploit y XSS.
LockBit ya ha filtrado aproximadamente dos docenas de archivos supuestamente robados de los sistemas gubernamentales del condado de Fulton, aunque por el momento ninguno de ellos involucra los casos judiciales de Trump. No obstante, los documentos sí parecen incluir registros judiciales, que están sellados y protegidos de la vista del público, y la pandilla ha advertido que una filtración mayor podría tener consecuencias potencialmente peligrosas y perturbadoras.
Para evitarla, LockBitSupp emplaza a pagar el rescate y niega las afirmaciones hechas por la Agencia Nacional Contra el Crimen del Reino Unido (NCA) que apuntan a que no elimina los datos robados cuando sus víctimas acceden a abonar el rescate.
La operación 'Cronos', fruto de una negligencia e imprudencia
Al parecer, según señala LockBitSupp, las fuerzas policiales, a las que se refiere colectivamente como el FBI, consiguieron hacerse con el control de sus servidores utilizando una vulnerabilidad crítica de PHP, rastreada como CVE-2023-3824, la cual reconoce pudieron explotar por una "negligencia e irresponsabilidad personal".
"Después de cinco años nadando en dinero me he vuelto muy vago". "Debido a mi negligencia e irresponsabilidad personal, me relajé y no actualicé PHP a tiempo… como resultado, accedieron a los dos servidores principales donde estaba instalada esta versión de PHP", admite.
LockBitSupp declara que las fuerzas policiales "obtuvieron una base de datos, fuentes de paneles web, resguardos de casilleros que no son fuentes como afirman, y una pequeña porción de descifradores desprotegidos". En concreto, afirma que lograron más de 1.000 claves de descifrado, pero que éstas no tenían habilitada la función de "protección máxima de cifrado". Además, apunta que las obtuvieron de un servidor que contenía cerca de 20.000 descifradores, aproximadamente la mitad del número total de descifradores generados por el grupo desde su puesta en marcha en 2019.
"Dejaré de ser perezoso y haré que absolutamente todos los 'build lokers' tengan la máxima protección. Ahora no habrá descifrado de prueba automático, todos los descifrados de prueba y la emisión de descifradores se realizarán únicamente en modo manual. Así, en un posible ciberataque futuro, el FBI no podrá conseguir ni un solo descifrador gratis".
LockBit planea fortalecer la seguridad de su infraestructura e intensificar sus ataques contra el sector gubernamental, según ha apuntado LockBitSupp en su misiva.