Le forze di polizia di 11 paesi, tra cui National Crime Agency del Regno Unito e FBI, hanno smantellato l’infrastruttura del gruppo LockBit, noto per aver effettuato numerosi attacchi con l’omonimo ransomware. Con Operation Cronos sono stati sequestrati i siti utilizzati per la pubblicazione dei dati rubati e la negoziazione dei riscatti. I dettagli verranno comunicati alle ore 12:30.
Accesso ai server tramite exploit PHP
Visitando uno dei siti usati per pubblicare i dati rubati (serve un browser Tor) appare una schermata che indica il sequestro da parte di 10 paesi (Regno Unito, Stati Uniti, Francia, Germania, Giappone, Australia, Svezia, Svizzera, Canada e Olanda) che hanno partecipato alla Operation Cronos. Il sito è sotto il controllo della NCA del Regno Unito.
Alcuni siti sono ancora online, mentre è offline anche il sito usato per la negoziazione dei riscatti. Un portavoce della NCA ha confermato lo smantellamento dell’infrastruttura, ma l’operazione è ancora in corso. L’FBI ha dichiarato che sono stati sequestrati 11.000 domini. Tutti i dettagli verranno forniti alle ore 12:30 attraverso un comunicato stampa.
Un membro del gruppo, noto come LockBitSupp, ha scritto su Tox (un servizio di messaggistica) che l’FBI ha effettuato l’accesso ai server usando un exploit PHP. Secondo vx-underground è stata sfruttata la vulnerabilità CVE-2023-3824.
Le forze di polizia hanno inoltre preso il controllo del pannello usato dagli affiliati (LockBit è un Ransomware-as-a-Service) e pubblicato un messaggio per confermare il sequestro di codice sorgente, chat, elenco delle vittime e dati rubati.
When a Lockbit affiliate tries to log into the Lockbit panel this is what they see pic.twitter.com/CYSkML7aVv
— vx-underground (@vxunderground) February 19, 2024
Il gruppo LockBit è responsabile di numerosi attacchi contro aziende, agenzie governative e istituzioni finanziarie. In Italia sarebbe stata colpita l’Agenzia delle Entrate a fine luglio 2022, ma Sogei ha smentito.
Aggiornamento: le forze di polizia hanno fornito tutti i dettagli sulla Operation Cronos.