Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Gigantycznie dobra wiadomość ze świata cybersecurity. Służby zwinęły Lockbita – jedną z najbardziej aktywnych grup ransomware.
Możemy tym razem zacząć od razu od grafiki. Odwiedzający stronę Lockbita mogą zobaczyć taki widok:
W skrócie – służby zinfiltrowały infrastrukturę IT Lockbita. Zatrzymano również dwie osoby stojące za gangiem – zatrzymania miały miejsce w Polsce oraz na Ukrainie.
W ramach infiltracji Lockbita przejęto:
- dostęp do blogu wyciekowego oraz systemu administracyjnego służącego koordynacji ataków,
- ~1000 kluczy deszyfrujących- dzięki temu udało się przygotować dekryptor. Tj. ofiary gangu Lockbit mogą odszyfrować swoje dane.
- kod źródłowy ransomware,
- zapisy chatów z ofiarami.
Przykładowe zrzuty ekranowe z przejętych systemów można znaleźć tutaj:
Na serwerach Udało się odnaleźć pewne poufne dane należące do ofiar które zapłaciły okup. Co oznacza, że płatność okupu wcale nie musi oznaczać usunięcia danych (jak obiecują przestępcy).
Chodzą pogłoski, że służby dostały się do infrastruktury Lockbita korzystając z podatności CVE-2023-3824 (luka w starej wersji PHP, dająca możliwość wykonania kodu na serwerze – RCE)
Czy to już koniec Lockbita? Służby pozyskały ogrom cennych informacji z serwerów gangu + „ubiły” drugi ogrom ich serwisów / usług. Prawdopodobnie jednak nastąpi próba reorganizacji gangu. Może nawet stworzenia nowej grupy.
~ms
To ilu przestępców aresztowano ? :-)
A gdzież to nasza super cyber jednostka policji się podziała? Czyżby to było za wysoko na jej progi?
Nigdy tego nie zrozumiem-jak można mieć taką wiedzę informatyczną i zamiast zarabiać grube krocie legalnie i przejść na emeryturę po np. 10 latach koszenia kasy w korpo, to organizować jakieś gangi, psuć ludziom krew i kraść, a po 10 latach zamiast na emeryturę trafić do więzienia.
to bardzo proste , olbrzymie pieniądze.Nieporownywalnie większe od tego co napisałeś
Tak, długo jak najważniejsi LUDZIE, którzy za tym stoją nie SIEDZĄ jak najbardziej spodziewałbym się, jak to nazwaliście, reorganizacji gangu.
CVE związane z plikami phar ?
Konfigurując cokolwiek php-owego na serwerze robi się wszystko żeby phar nie dało się pobrać, czy wykonać z sieci (nie licząc jakiegoś ułomnego softu co jest zaszyty w phar). Może go podrzucili im gdzieś jako np. avatar na forum i mleko się rozlało.