Il gruppo LockBit ha annunciato un aggiornamento per l’infrastruttura utilizzata negli attacchi ransomware e soprattutto l’introduzione della nuova tattica che prevede una tripla estorsione. Le novità sono conseguenza dell’attacco effettuato contro Entrust e la successiva impossibilità di condividere i dati rubati tramite il sito Tor, in quanto messo offline da un attacco DDoS.
LockBit adotta la tripla estorsione
I cybercriminali avevano rubato e cifrato i dati di Entrust il 18 giugno. L’azienda statunitense non ha pagato il riscatto, quindi il gruppo LockBit ha minacciato di pubblicare i documenti il 19 agosto. Ciò non è avvenuto perché qualcuno ha effettuato un attacco DDoS (Distributed Denial of Service) contro il sito Tor usato per condividere i dati. Un portavoce della gang, che si firma LockBitSupp, ha comunicato che l’infrastruttura è stata aggiornata per resistere agli attacchi DDoS.
I cybercriminali hanno inoltre implementato diverse misure di prevenzione: duplicazione dei server, aumento del numero di mirror e utilizzo di link casuali (unici) che non possono essere riconosciuti per eventuali attacchi DDoS. Come promesso, il gruppo ha condiviso sulle rete Torrent un archivio da 343 GB che contiene i dati di Entrust. L’archivio verrà distribuito anche tramite servizi di file storage.
Prendendo spunto da quanto accaduto al sito Tor, i cybercriminali hanno deciso di adottare la tattica della tripla estorsione per mettere più pressione alle vittime. Oltre alla cifratura dei file e alla pubblicazione dei dati è previsto un eventuale attacco DDoS. La gang cerca quindi esperti in questo tipo di tattica.