A distanza di appena quattro giorni dall’Operation Cronos, LockBit ha comunicato di aver ripristinato i server utilizzando nuovi domini Tor. Un portavoce del gruppo ha pubblicato un lungo messaggio per indicare la vulnerabilità sfruttata dall’FBI e spiegare il motivo che ha portato all’intervento delle forze di polizia.
LockBit ringrazia l’FBI
Secondo gli esperti di vx-underground, il post segue il classico schema del gruppo, già seguito in passato. Con il lungo messaggio vengono presi in giro gli agenti dell’FBI che hanno sequestrato i server. I cybercriminali ringraziano le forze di polizia per averli fatti svegliare dalla pigrizia che ha portato a trascurare la vulnerabilità CVE-2023-3824 di PHP, sfruttata per accedere ai server.
Secondo LockBit, l’FBI e le agenzie di altri paesi hanno deciso di prendere il controllo dei server perché un affiliato ha effettuato un attacco ransomware contro il sistema giudiziario della Contea di Fulton (Georgia) all’inizio di febbraio e rubato alcuni documenti sensibili sull’ex Presidente Donald Trump (accusato di cospirazione).
La National Crime Agency (NCA) del Regno Unito ha trovato oltre 1.000 chiavi di decifrazione sui server. Nel post viene specificato che è solo una piccola parte, in quanto esistono circa 40.000 chiavi correlate ai cinque anni di attività del gruppo. Secondo Chainalysis, le forze di polizia hanno scoperto circa 30.000 indirizzi Bitcoin, oltre 500 dei quali (ancora attivi) hanno ricevuto oltre 125 milioni di dollari tra luglio 2022 e febbraio 2024.
I cybercriminali affermano che il loro “lavoro” continuerà e nessuno potrà fermarli. In base a quanto indicato nel post, tra i bersagli dei futuri attacchi ci saranno più agenzie governative.